Главная/Статьи/Настройка оборудования MikroTik/Настройка Firewall MikroTik

Настройка Firewall MikroTik

08.04.2017

Роутеры Mikrotik очень надежное оборудование, которое стоит один раз правильно настроить и забыть про него. Но у некоторых со временем начинаются проблемы, в частности низкая скорость интернета или его отсутствие. Если зайти на устройство и посмотреть загрузку процессора,то видно что она доходит до 100% (чтобы посмотреть загрузку ЦП, подключитесь к устройству через Winbox зайти в System -> Resoures, значение CPU Load)

Если вы ищете понятный и удобный источник информации по микротикам, то вот он: курс «Настройка оборудования MikroTik». Это видеоучебник, где «без воды» собрана вся базовая информация по работе с MikroTik и RouterOS. Для новичков станет прямым руководствам, опытные инженеры смогут освежить и упорядочить знания. 162 видеоурока и 45 лабораторных работ, основанные на программе вендора MTCNA. Первые 25 уроков можно заказать бесплатно на странице курса.

Если у вас большая загрузка ЦП, то скорее всего боты сканируют устройство на поиск уязвимостей. Обычно больше всего запросов идет на 53 порт, DNS сервер микротика.

Что бы подобных проблем не возникало, нужно настроить на Mikrotik Firewall.

Подключаемся к нашему устройству через Winbox и заходим IP -> Firewall и нажимаем + что бы создать правило

Появилось окно создания правила.

Рассмотрим подробно все варианты условий, на основании которых мы можем принимать решение о действии.

Закладка General

Давайте подробно рассмотрим что здесь есть

Наименование

Описание

Chain(Цепочка)

Доступны следующие варианты для выбора:

input (входящий трафик),

output (исходящий трафик),

forward (проходящий трафик).

Src. Address

(адрес источника)

Доступны следующие варианты для выбора:

Один адрес. Например, 10.0.100.1

Подсеть. Например, 10.0.100.0/24

Диапазон адресов. Например, 10.0.100.1-10.0.100.255

Dst. Address

(адрес назначения)

Доступны следующие варианты для выбора:

Один адрес. Например, 10.0.100.1

Подсеть. Например, 10.0.100.0/24

Диапазон адресов. Например, 10.0.100.1-10.0.100.255

Protocol

(протокол соединения)

Основные протоколы: TCP и UDP

Также есть возможность указать иной протокол.

Src. Port

(порт, с которого пришел пакет.)

Поле работает только для основных протоколов TCP или UDP.

Dst. Port

(порт, на который пришел пакет)

Поле работает только для основных протоколов TCP или UDP.

Any Port (любой порт)

Поле которое определяет сразу два порта Src. Port и Dst. Port

Используется если Src. Port совпадает с Dst. Port(при этом поля Src. Port и Dst. Port не заполняются).

P2P

(Peer-to-Peer протокол)

Указывает на то, что пакет относится к P2P протоколу.

In Interface

(Входящий интерфейс)

Интерфейс, на который поступил пакет.

Out Interface

(Исходящий интерфейс)

Интерфейс, на который будет отправлен пакет.

Packet Mark

(Маркированый пакет)

Назначается через Mangle заранее.

Connection Mark

(Маркированый пакет)

Назначается через Mangle заранее.

Routing Mark

(Маркированый пакет)

Назначается через Mangle заранее.

Connection Type

(тип подлючения)

Основывается на данных указанных в connection tracking.

Connection State

(Состояние соединения)

Указывает в каком состоянии находится соединение.

Так же перед некоторыми полями можно поставить ! - это означает отрицание, например

обозначает что адрес источника любой, кроме 10.1.1.100.

Закладка Advanced

Наименование	Описание
Src. Address List	Адрес источника пакета совпадает с одним из адресов в именованном списке адресов, заданном на закладке Firewall/Address Lists.
Dst. Address List	Адрес назначения пакета совпадает с одним из адресов в именованном списке адресов, заданном на закладке Firewall/Address Lists.
Layer 7 Protocol	При проверке пакета L7-фильтром, заданным на закладке Firewall/Layer 7 Protocols, он был отнесен к одному из определенных на этой закладке протоколов.
Content	Внутри пакета содержится определенная строка символов.
Connection Bytes	Количество байт, прошедших через соединение. При этом 0 обозначает бесконечность. Например, 1000000-0 = более 1МБ.
Connection Rates	Скорость соединения. Например, 0-128000. Это правило сработает, если скорость подключения менее 128 килобит в секунду. (Поставив флаг [!] перед таким правилом, мы заставим срабатывать правило на соединение более 128kbps)
Per Connection Classifier	Используется при необходимости разделения трафика на несколько потоков. Позволяет держать пакеты с определенным набором опций в одном потоке.
Src. MAC Address	MAC-адрес сетевой карты источника. Сработает, только если источник пакета находится в одном Ethernet-сегменте с маршрутизатором.
Out Bridge Port	Порт назначения интерфейса типа bridge, при активированной в Bridge опции Use IP Firewall.
In Bridge Port	Порт источника интерфейса типа bridge, при активированной в Bridge опции Use IP Firewall.
Ingress Priority	Приоритет пакета. Может быть получен из VLAN, WMM или MPLS ext. bit
DSCP (TOS)	Определяет DSCP, заданный в заголовке пакета.
TCP MSS	Размер MSS (Maximum segment size) TCP пакета.
Packet Size	Размер пакета.
Random	Случайное срабатывание правила. Число задается в диапазоне 1-99, что соответствует вероятности срабатывания правила от 1 до 99 процентов. Обычно используется при тестировании сервисов, когда надо изобразить случайную потерю пакетов на нестабильном канале.
TCP Flags	Флаги TCP соединения.
ICMP Options	Опции (типы сообщения) ICMP.
IPv4 Options	В заголовке пакета имеется заданная опция протокола Ipv4.
TTL	Time To Live – Время жизни пакета соответствует …

Закладка Extra

Наименование	Описание
Connection Limit	Предел количества соединений для адреса или подсети. Адрес или подсеть задается полем netmask (для 1 адреса 32).
Limit	Предназначено для ограничения количества передаваемых пакетов: Поля: Rate – количество пакетов в секунду (минуту/час). Burst – Количество неучитываемых пакетов (пакетов не входящих в packet rate).
Dst. Limit	Ограничение количества передаваемых пакетов по адресу источника/назначения. В отличии от limit, учитываются пакеты для каждого адреса или адреса/порта в зависимости от выбранных опций. Поля rate и burst соответствуют таковым в опции Limit. Дополнительный поля: Limit By – по какому критерию (src\|dst address \| address/port) учитывать пакеты. Expire - через какой промежуток времени запомненный адрес/порт будут удалены.
Nth	Каждый из: Every – из какого числа пакетов. Packet – сколько. Например Every=3, packet=2 Обозначает «Каждые 2 из 3 пакетов или проще 2/3 пакетов). Опцию часто используют при балансировке нагрузки между каналами.
Time	Время действия правила. Позволяет ограничить действие правила во времени и по дням недели. Так как у маршрутизатора нет аппаратно-независимых часов, для корректной работы опции требуется настроенный SNTP-клиент (System/SNTP-Client) и часовой пояс (System/Clock)
Src. Address Type	Тип IP-адреса источника (Local, Unicast, Broadcast, Multicast)
Dst. Address Type	Тип IP-адреса назначения (Local, Unicast, Broadcast, Multicast)
PSD	Port Scan Detect. Опция позволяющая настроить определение события сканирования портов. Поля: Weight Threshold = При каком значении сработает. Delay Threshold = Максимальная задержка между пакетами с разными портами назначения, пришедшими с одного адреса. Low Port Weight = сколько при подсчете стоит каждый порт в диапазоне 0-1023. High Port Weight = сколько при подсчете стоит каждый порт в диапазоне 1024-65535.
Hotspot	Опции, связанные с работой хотспот, если он настроен на маршрутизаторе.
IP Fragment	Пакет является фрагментом другого пакета.

Вкладка Action

Действия задаются на закладке Action сформированного правила, давайте рассмотрим варианты:

Accept

Разрешить прохождение пакета. Дальнейшие действия по фильтрации прекращаются, пакет передается на следующий этап обработки.

add-dst-to-address-list

Добавить адрес назначения пакета в именованный список адресов (address list).

Опции:

Address-List – Имя списка адресов. Выбирается из списка или задается новое.
Timeout – Время, которое данный адрес будет присутствовать. По истечении заданного времени адрес будет удален из списка.

add-src-to-address-list

Добавить адрес источника пакета в именованный список адресов (address list).

Опции:

Address-List – Имя списка адресов. Выбирается из списка или задается новое.
Timeout – Время, которое данный адрес будет присутствовать. По истечении заданного времени адрес будет удален из списка.

Drop

Уничтожить пакет. Пакет удаляется и его обработка останавляивается.

Jump

Перебросить на собственную цепочку(chain) обработки пакетов.

Log

Записать информацию о пакете в Log-файл. При этом пакет будет обработан следующим правилом (использяется для выявления проблем с прохождением пакета).

Passthrough

Ничего не делать. Передать пакет на следующее правило. Однако при этом счетчики работают, показывая сколько пакетов соответствовало этому правилу. Обычно используется для статистики.

Reject

Запретить прохождение пакета и отправить отправляющему узлу ICMP-сообщение об ошибке.

Return

Досрочно прервать обработку собственной цепочки (chain) и вернуться на следующее правило за правилом с Action=jump, которое передало пакет в эту цепочку.

Tarpit

Может использоваться только с протоколом TCP. Суть в том, что маршрутизатор дает разрешение на создание соединения, при этом выставляя нулевое окно передачи (т.е. скорость соединения = 0). Позволяет «завесить» атакующий хост на этом соединении.

Вернемся к настройкам и создадим ПЕРВОЕ ПРАВИЛО.

Мы разрешаем все уже установленные соединения (галочка established) и все зависимые подключения (галочка related)

Вкладка General

Chain - input

Connection State - established и related