Настройка Firewall MikroTik

08.04.2017
автор Buy Wifi
Настройка Firewall MikroTik BuyWifi

Роутеры Mikrotik очень надежное оборудование, которое стоит один раз правильно настроить и забыть про него. Но у некоторых со временем начинаются проблемы, в частности низкая скорость интернета или его отсутствие. Если зайти на устройство и посмотреть загрузку процессора,то видно что она доходит до 100% (чтобы посмотреть загрузку ЦП, подключитесь к устройству через Winbox  зайти в System -> Resoures, значение CPU Load)

Если у вас большая загрузка ЦП, то скорее всего боты сканируют устройство на поиск уязвимостей. Обычно больше всего запросов идет на 53 порт, DNS сервер микротика. 

Что бы подобных проблем не возникало, нужно настроить на Mikrotik Firewall.

Подключаемся к нашему устройству через Winbox и заходим IP -> Firewall и нажимаем + что бы создать правило

Появилось окно создания правила. 

Рассмотрим подробно все варианты условий, на основании которых мы можем принимать решение о действии.

Закладка General

Давайте подробно рассмотрим что здесь есть

Наименование

Описание

Chain(Цепочка)

Доступны следующие варианты для выбора:

input (входящий трафик),

output (исходящий трафик),

forward (проходящий трафик).

Src. Address

(адрес источника)

Доступны следующие варианты для выбора:

Один адрес. Например, 10.0.100.1

Подсеть. Например, 10.0.100.0/24

Диапазон адресов. Например, 10.0.100.1-10.0.100.255

Dst. Address

(адрес назначения)

Доступны следующие варианты для выбора:

Один адрес. Например, 10.0.100.1

Подсеть. Например, 10.0.100.0/24

Диапазон адресов. Например, 10.0.100.1-10.0.100.255

Protocol

(протокол соединения)

Основные протоколы: TCP и UDP

Также есть возможность указать иной протокол.

Src. Port

(порт, с которого пришел пакет.)

Поле работает только для основных протоколов TCP или UDP.

Dst. Port

(порт, на который пришел пакет)

Поле работает только для основных протоколов TCP или UDP.

Any Port (любой порт)

Поле которое определяет сразу два порта Src. Port и Dst. Port

Используется если Src. Port совпадает с Dst. Port(при этом поля Src. Port и Dst. Port не заполняются).

P2P

(Peer-to-Peer протокол)

Указывает на то, что пакет относится к P2P протоколу. 

In Interface

(Входящий интерфейс)

Интерфейс, на который поступил пакет. 

Out Interface

(Исходящий интерфейс)

Интерфейс, на который будет отправлен пакет. 

Packet Mark

(Маркированый пакет)

Назначается через Mangle заранее.

Connection Mark

(Маркированый пакет)

Назначается через Mangle заранее.

Routing Mark

(Маркированый пакет)

Назначается через Mangle заранее.

Connection Type

(тип подлючения)

Основывается на данных указанных в connection tracking.

Connection State

(Состояние соединения)

Указывает в каком состоянии находится соединение.

Так же перед некоторыми полями можно поставить ! - это означает отрицание, например 

обозначает что адрес источника любой, кроме 10.1.1.100.

Закладка Advanced

Наименование

Описание

Src. Address List

Адрес источника пакета совпадает с одним из адресов в именованном списке адресов, заданном на закладке Firewall/Address Lists.

Dst. Address List

Адрес назначения пакета совпадает с одним из адресов в именованном списке адресов, заданном на закладке Firewall/Address Lists.

Layer 7 Protocol

При проверке пакета L7-фильтром, заданным на закладке Firewall/Layer 7 Protocols, он был отнесен к одному из определенных на этой закладке протоколов.

Content

Внутри пакета содержится определенная строка символов.

Connection Bytes

Количество байт, прошедших через соединение. При этом 0 обозначает бесконечность.

Например, 1000000-0 = более 1МБ.

 

Connection Rates

Скорость соединения. Например, 0-128000. Это правило сработает, если скорость подключения менее 128 килобит в секунду. (Поставив флаг [!] перед таким правилом, мы заставим срабатывать правило на соединение более 128kbps)

Per Connection Classifier

Используется при необходимости разделения трафика на несколько потоков. Позволяет держать пакеты с определенным набором опций в одном потоке. 

Src. MAC Address

MAC-адрес сетевой карты источника. Сработает, только если источник пакета находится в одном Ethernet-сегменте с маршрутизатором.

Out Bridge Port

Порт назначения интерфейса типа bridge, при активированной в Bridge опции Use IP Firewall.

In Bridge Port

Порт источника интерфейса типа bridge, при активированной в Bridge опции Use IP Firewall.

Ingress Priority

Приоритет пакета. Может быть получен из VLAN, WMM или MPLS ext. bit

DSCP (TOS)

Определяет DSCP, заданный в заголовке пакета.

TCP MSS

Размер MSS (Maximum segment size) TCP пакета.

Packet Size

Размер пакета.

Random

Случайное срабатывание правила. Число задается в диапазоне 1-99, что соответствует вероятности срабатывания правила от 1 до 99 процентов. Обычно используется при тестировании сервисов, когда надо изобразить случайную потерю пакетов на нестабильном канале.

TCP Flags

Флаги TCP соединения.

ICMP Options

Опции (типы сообщения) ICMP.

IPv4 Options

В заголовке пакета имеется заданная опция протокола Ipv4.

TTL

Time To Live – Время жизни пакета соответствует …

Закладка Extra

Наименование

Описание

Connection Limit

Предел количества соединений для адреса или подсети. Адрес или подсеть задается полем netmask (для 1 адреса 32).

Limit

Предназначено для ограничения количества передаваемых пакетов:

Поля:

Rate – количество пакетов в секунду (минуту/час).

Burst – Количество неучитываемых пакетов (пакетов не входящих в packet rate).

Dst. Limit

Ограничение количества передаваемых пакетов по адресу источника/назначения. В отличии от limit, учитываются пакеты для каждого адреса или адреса/порта в зависимости от выбранных опций. 
Поля rate и burst соответствуют таковым в опции Limit.

Дополнительный поля:

Limit By – по какому критерию (src|dst address | address/port) учитывать пакеты.

Expire - через какой промежуток времени запомненный адрес/порт будут удалены.

Nth

Каждый из:

Every – из какого числа пакетов.

Packet – сколько.

Например Every=3, packet=2 Обозначает «Каждые 2 из 3 пакетов или проще 2/3 пакетов).
Опцию часто используют при балансировке нагрузки между каналами.

Time

Время действия правила. Позволяет ограничить действие правила во времени и по дням недели. Так как у маршрутизатора нет аппаратно-независимых часов, для корректной работы опции требуется настроенный SNTP-клиент (System/SNTP-Client) и часовой пояс (System/Clock)

Src. Address Type

Тип IP-адреса источника (Local, Unicast, Broadcast, Multicast)

Dst. Address Type

Тип IP-адреса назначения (Local, Unicast, Broadcast, Multicast)

PSD

Port Scan Detect. Опция позволяющая настроить определение события сканирования портов. Поля:

Weight Threshold = При каком значении сработает.

Delay Threshold = Максимальная задержка между пакетами с разными портами назначения, пришедшими с одного адреса.

Low Port Weight = сколько при подсчете стоит каждый порт в диапазоне 0-1023.

High Port Weight = сколько при подсчете стоит каждый порт в диапазоне 1024-65535.

Hotspot

Опции, связанные с работой хотспот, если он настроен на маршрутизаторе.

IP Fragment

Пакет является фрагментом другого пакета.

Вкладка Action

Действия задаются на закладке Action сформированного правила, давайте рассмотрим варианты:

Accept

Разрешить прохождение пакета. Дальнейшие действия по фильтрации прекращаются, пакет передается на следующий этап обработки.

add-dst-to-address-list

Добавить адрес назначения пакета в именованный список адресов (address list).

Опции:

  • Address-List – Имя списка адресов. Выбирается из списка или задается новое.
  • Timeout – Время, которое данный адрес будет присутствовать. По истечении заданного времени адрес будет удален из списка.

add-src-to-address-list

Добавить адрес источника пакета в именованный список адресов (address list).

Опции:

  • Address-List – Имя списка адресов. Выбирается из списка или задается новое.
  • Timeout – Время, которое данный адрес будет присутствовать. По истечении заданного времени адрес будет удален из списка.

Drop

Уничтожить пакет. Пакет удаляется и его обработка останавляивается.

Jump

Перебросить на собственную цепочку(chain) обработки пакетов.

Log

Записать информацию о пакете в Log-файл. При этом пакет будет обработан следующим правилом (использяется для выявления проблем с прохождением пакета).

Passthrough

Ничего не делать. Передать пакет на следующее правило. Однако при этом счетчики работают, показывая сколько пакетов соответствовало этому правилу. Обычно используется для статистики.

Reject

Запретить прохождение пакета и отправить отправляющему узлу ICMP-сообщение об ошибке.

Return

Досрочно прервать обработку собственной цепочки (chain) и вернуться на следующее правило за правилом с Action=jump, которое передало пакет в эту цепочку.

Tarpit

Может использоваться только с протоколом TCP. Суть в том, что маршрутизатор дает разрешение на создание соединения, при этом выставляя нулевое окно передачи (т.е. скорость соединения = 0). Позволяет «завесить» атакующий хост на этом соединении.

 

 

Вернемся к настройкам и создадим ПЕРВОЕ ПРАВИЛО.

Мы разрешаем все уже установленные соединения (галочка established) и все зависимые подключения (галочка related)

Вкладка General

Chain - input

Connection State - established и related

 

Вкладке Action выбираем accept - разрешить прохождение пакета.

 

ВТОРОЕ ПРАВИЛО.

Разрешаем команду Ping до нашего устройства

Вкладка General

Chain - input

Protocol - icmp

Вкладка Action выбираем accept

ТРЕТЬЕ ПРАВИЛО.

Разрешаем новые соединения по порту 8291 (порт управления winbox) с любого интерфейса

Вкладка General

Chain - input

Protocol - tcp

Any. Port - 8291

Вкладка Action выбираем accept

 

ЧЕТВЕРТОЕ ПРАВИЛО.

Блокируем все новые соединения с внешнего интерфейса

Обратите внимание, что это правило должно быть ниже предыдущих, иначе если настраиваете роутер удаленно, вы можете потерять к нему доступ!

Вкладка General

Chain - input

In. Interface - l2tp-out1 (наше vpn соединение)

На вкладке Action выбираем drop

 

Должно получиться следующее:

Обратите внимание сколько по последнему правилу пакетов, хотя правило только создано.

На этом базовая настройка безопасности роутера завершена.


 

Комментарии

Сообщения не найдены

Новое сообщение

Хиты продаж

MikroTik RB951Ui-2HnD
RB951Ui-2HnD
3 630.00 Р
Ubiquiti LiteBeam M5-23
LBE-M5-23 EU
3 170.00 Р
Ubiquiti NanoStation Loco M2
LocoM2(EU)
3 235.00 Р
MikroTik LHG 5
RBLHG-5nD
3 570.00 Р
LigoWave LigoDLB 2-9
DLB-2-9
2 820.00 Р
Ubiquiti PowerBeam M5-400
PBE-M5-400-EU
5 940.00 Р
Ubiquiti NanoStation M5
NSM5(EU)
5 590.00 Р
Ubiquiti NanoStation Loco M5
LocoM5(EU)
4 270.00 Р