Để định cấu hình quy tắc tường lửa trên bộ định tuyến MikroTik chỉ cho phép một người dùng cụ thể truy cập vào WinBox, bạn cần xác định quy tắc dựa trên địa chỉ IP của người dùng.

WinBox là ứng dụng quản lý dành cho thiết bị MikroTik sử dụng cổng 8291 theo mặc định.

Dưới đây là cách tạo quy tắc tường lửa cho mục đích này bằng giao diện dòng lệnh MikroTik RouterOS (CLI):

Bước 1: Cho phép người dùng cụ thể truy cập

Trước tiên, bạn cần tạo quy tắc cho phép truy cập vào cổng 8291 (được WinBox sử dụng) chỉ từ địa chỉ IP của người dùng được ủy quyền. Thay thế 192.168.1.2 với địa chỉ IP thực của người dùng.

/ip firewall filter
add action=accept chain=input protocol=tcp dst-port=8291 src-address=192.168.1.2 comment="Permitir acceso WinBox a usuario específico"

Quy tắc này thêm một ngoại lệ vào tường lửa để chỉ chấp nhận kết nối TCP trên cổng 8291 nếu chúng đến từ địa chỉ IP 192.168.1.2.

Bước 2: Chặn quyền truy cập của tất cả người dùng khác

Sau khi tạo quy tắc cho phép truy cập vào người dùng cụ thể, bạn cần đảm bảo rằng không người dùng nào khác có thể truy cập thông qua WinBox. Điều này được thực hiện bằng cách tạo quy tắc chặn mọi kết nối khác tới cổng 8291.

add action=drop chain=input protocol=tcp dst-port=8291 comment="Bloquear acceso WinBox a todos los demás"

Quy tắc này sẽ đảm bảo rằng tất cả các kết nối khác tới cổng 8291 chưa được các quy tắc trước đó cho phép rõ ràng đều bị chặn.

cân nhắc quan trọng

• Thứ tự của các quy tắc: Trong tường lửa MikroTik, các quy tắc được xử lý theo thứ tự tuần tự từ đầu đến cuối. Vì vậy, điều quan trọng là phải đặt quy tắc cho phép trước quy tắc chặn, để đảm bảo rằng người dùng được ủy quyền có quyền truy cập trước khi áp dụng quy tắc chặn chung.
• Bảo mật bổ sung: Xem xét triển khai các biện pháp bảo mật bổ sung, chẳng hạn như thay đổi cổng mặc định của WinBox thành một cổng ít phổ biến hơn để giảm nguy cơ bị tấn công tự động.
• Truy cập từ xa: Nếu người dùng cần truy cập từ xa từ bên ngoài mạng cục bộ, hãy đảm bảo địa chỉ IP công cộng mà họ sẽ kết nối là địa chỉ bạn định cấu hình trong quy tắc và cân nhắc sử dụng VPN hoặc quy tắc NAT nguồn để tăng cường bảo mật.

Các quy tắc tường lửa này sẽ giúp bạn kiểm soát quyền truy cập vào cài đặt bộ định tuyến MikroTik của mình thông qua WinBox, chỉ cho phép những người dùng cụ thể và chặn mọi nỗ lực trái phép.