在 MikroTik 路由器上正确配置防火墙对于保护您的网络免受未经授权的访问和其他类型的安全威胁至关重要。尽管具体规则可能会根据每个网络的需求和配置而有所不同,但有一些针对大多数环境建议的通用规则和原则。
以下是 MikroTik RouterOS 中防火墙过滤器、NAT 和其他相关配置部分的一些规则和最佳实践。
防火墙过滤器
防火墙过滤器的目的是控制通过路由器的流量,允许您根据特定条件阻止或允许流量。
- 阻止对路由器的未经授权的访问:
请务必限制从本地网络外部访问路由器。这通常是通过阻止管理端口来完成的,例如 22 (SSH)、23 (Telnet)、80 (HTTP)、443 (HTTPS) 和 8291 (Winbox)。
/ip firewall filter
add action=drop chain=input in-interface=ether1 protocol=tcp dst-port=22 comment="Bloquear acceso SSH externo"
add action=drop chain=input in-interface=ether1 protocol=tcp dst-port=23 comment="Bloquear acceso Telnet externo"
add action=drop chain=input in-interface=ether1 protocol=tcp dst-port=80 comment="Bloquear acceso HTTP externo"
add action=drop chain=input in-interface=ether1 protocol=tcp dst-port=443 comment="Bloquear acceso HTTPS externo"
add action=drop chain=input in-interface=ether1 protocol=tcp dst-port=8291 comment="Bloquear acceso Winbox externo"
2. 防范常见攻击:
实施规则以保护您的网络免受常见攻击,例如 SYN 洪水、ICMP 洪水和端口扫描。
SYN 洪水攻击
/ip firewall filter
add action=add-src-to-address-list address-list="syn_flooders" address-list-timeout=1d chain=input connection-state=new dst-limit=30,60,src-address/1m protocol=tcp tcp-flags=syn comment="Detectar SYN flood"
add action=drop chain=input src-address-list="syn_flooders" comment="Bloquear SYN flooders"
ICMP洪水攻击
/ip firewall filter
add action=add-src-to-address-list address-list="icmp_flooders" address-list-timeout=1d chain=input protocol=icmp limit=10,20 comment="Detectar ICMP flood"
add action=drop chain=input protocol=icmp src-address-list="icmp_flooders" comment="Bloquear ICMP flooders"
3. 允许必要的流量:
配置规则以允许您的网络所需的合法流量。这包括内部流量以及根据您的特定需求进出互联网的流量。
假设您只想允许从本地网络进行 SSH 访问:
/ip firewall filter
add action=accept chain=input protocol=tcp dst-port=22 src-address=192.168.1.0/24 comment="Permitir acceso SSH interno"
4. 放下其他一切:
作为安全实践,之前未明确允许的任何流量都应被阻止。这通常是在防火墙过滤规则的末尾完成的,其中包含拒绝或丢弃所有其他流量的规则。
该规则应放置在过滤规则的末尾以充当默认拒绝策略。
/ip firewall filter
add action=drop chain=input comment="Descartar el resto de tráfico no permitido"
NAT(网络地址转换)
NAT 通常用于将本地网络上的专用 IP 地址转换为用于 Internet 访问的公共 IP 地址。
- 避世:
- 使用动作
masquerade
在链中srcnat
允许本地网络上的多个设备共享公共 IP 地址以访问 Internet。这对于通过单一公共 IP 的宽带连接访问互联网的网络至关重要。
- 使用动作
- 内部服务 DNAT:
- 如果您需要从网络外部访问内部服务,您可以使用目标 NAT (DNAT) 将传入流量重定向到相应的私有 IP。确保您只对必要的服务执行此操作,并考虑安全隐患。
其他安全注意事项
- 软件更新:
- 使用最新版本的 RouterOS 和固件更新您的 MikroTik 路由器,以防止已知漏洞。
- 第 7 层安全:
- 对于特定于应用程序的流量,您可以配置第 7 层规则以根据数据包中的模式阻止或允许流量。
- IP 地址范围限制:
- 将某些路由器服务的访问限制为特定的 IP 地址范围,从而降低未经授权访问的风险。
请记住,这些只是一般准则。您的具体防火墙配置应基于对安全需求、网络策略和性能考虑因素的详细评估。此外,建议定期执行网络安全测试,以识别和减轻潜在的漏洞。
这篇文章没有标签。
2 条评论“每个 MikroTik 路由器在防火墙过滤器、nat 等方面应该有哪些规则?”
这一部分的信息非常贫乏,我以为我会得到非常详细的信息,但实际上没有什么可以继续在互联网上搜索
José,您的评论非常准确,因此我开始扩展和更新文档。
我非常感谢您的反馈,希望现在可以消除您的疑虑。