Роутеры Mikrotik очень надежное оборудование, которое стоит один раз правильно настроить и забыть про него. Но у некоторых со временем начинаются проблемы, в частности низкая скорость интернета или его отсутствие. Если зайти на устройство и посмотреть загрузку процессора,то видно что она доходит до 100% (чтобы посмотреть загрузку ЦП, подключитесь к устройству через Winbox зайти в System -> Resoures, значение CPU Load)
Если вы ищете понятный и удобный источник информации по микротикам, то вот он: курс «Настройка оборудования MikroTik». Это видеоучебник, где «без воды» собрана вся базовая информация по работе с MikroTik и RouterOS. Для новичков станет прямым руководствам, опытные инженеры смогут освежить и упорядочить знания. 162 видеоурока и 45 лабораторных работ, основанные на программе вендора MTCNA. Первые 25 уроков можно заказать бесплатно на странице курса.
Если у вас большая загрузка ЦП, то скорее всего боты сканируют устройство на поиск уязвимостей. Обычно больше всего запросов идет на 53 порт, DNS сервер микротика.
Что бы подобных проблем не возникало, нужно настроить на Mikrotik Firewall.
Подключаемся к нашему устройству через Winbox и заходим IP -> Firewall и нажимаем + что бы создать правило
Появилось окно создания правила.
Рассмотрим подробно все варианты условий, на основании которых мы можем принимать решение о действии.
Давайте подробно рассмотрим что здесь есть
Наименование |
Описание |
Chain(Цепочка) |
Доступны следующие варианты для выбора: input (входящий трафик), output (исходящий трафик), forward (проходящий трафик). |
Src. Address (адрес источника) |
Доступны следующие варианты для выбора: Один адрес. Например, 10.0.100.1 Подсеть. Например, 10.0.100.0/24 Диапазон адресов. Например, 10.0.100.1-10.0.100.255 |
Dst. Address (адрес назначения) |
Доступны следующие варианты для выбора: Один адрес. Например, 10.0.100.1 Подсеть. Например, 10.0.100.0/24 Диапазон адресов. Например, 10.0.100.1-10.0.100.255 |
Protocol (протокол соединения) |
Основные протоколы: TCP и UDP Также есть возможность указать иной протокол. |
Src. Port (порт, с которого пришел пакет.) |
Поле работает только для основных протоколов TCP или UDP. |
Dst. Port (порт, на который пришел пакет) |
Поле работает только для основных протоколов TCP или UDP. |
Any Port (любой порт) |
Поле которое определяет сразу два порта Src. Port и Dst. Port Используется если Src. Port совпадает с Dst. Port(при этом поля Src. Port и Dst. Port не заполняются). |
P2P (Peer-to-Peer протокол) |
Указывает на то, что пакет относится к P2P протоколу. |
In Interface (Входящий интерфейс) |
Интерфейс, на который поступил пакет. |
Out Interface (Исходящий интерфейс) |
Интерфейс, на который будет отправлен пакет. |
Packet Mark (Маркированый пакет) |
Назначается через Mangle заранее. |
Connection Mark (Маркированый пакет) |
Назначается через Mangle заранее. |
Routing Mark (Маркированый пакет) |
Назначается через Mangle заранее. |
Connection Type (тип подлючения) |
Основывается на данных указанных в connection tracking. |
Connection State (Состояние соединения) |
Указывает в каком состоянии находится соединение. |
Так же перед некоторыми полями можно поставить ! - это означает отрицание, например
обозначает что адрес источника любой, кроме 10.1.1.100.
Наименование |
Описание |
Src. Address List |
Адрес источника пакета совпадает с одним из адресов в именованном списке адресов, заданном на закладке Firewall/Address Lists. |
Dst. Address List |
Адрес назначения пакета совпадает с одним из адресов в именованном списке адресов, заданном на закладке Firewall/Address Lists. |
Layer 7 Protocol |
При проверке пакета L7-фильтром, заданным на закладке Firewall/Layer 7 Protocols, он был отнесен к одному из определенных на этой закладке протоколов. |
Content |
Внутри пакета содержится определенная строка символов. |
Connection Bytes |
Количество байт, прошедших через соединение. При этом 0 обозначает бесконечность. Например, 1000000-0 = более 1МБ.
|
Connection Rates |
Скорость соединения. Например, 0-128000. Это правило сработает, если скорость подключения менее 128 килобит в секунду. (Поставив флаг [!] перед таким правилом, мы заставим срабатывать правило на соединение более 128kbps) |
Per Connection Classifier |
Используется при необходимости разделения трафика на несколько потоков. Позволяет держать пакеты с определенным набором опций в одном потоке. |
Src. MAC Address |
MAC-адрес сетевой карты источника. Сработает, только если источник пакета находится в одном Ethernet-сегменте с маршрутизатором. |
Out Bridge Port |
Порт назначения интерфейса типа bridge, при активированной в Bridge опции Use IP Firewall. |
In Bridge Port |
Порт источника интерфейса типа bridge, при активированной в Bridge опции Use IP Firewall. |
Ingress Priority |
Приоритет пакета. Может быть получен из VLAN, WMM или MPLS ext. bit |
DSCP (TOS) |
Определяет DSCP, заданный в заголовке пакета. |
TCP MSS |
Размер MSS (Maximum segment size) TCP пакета. |
Packet Size |
Размер пакета. |
Random |
Случайное срабатывание правила. Число задается в диапазоне 1-99, что соответствует вероятности срабатывания правила от 1 до 99 процентов. Обычно используется при тестировании сервисов, когда надо изобразить случайную потерю пакетов на нестабильном канале. |
TCP Flags |
Флаги TCP соединения. |
ICMP Options |
Опции (типы сообщения) ICMP. |
IPv4 Options |
В заголовке пакета имеется заданная опция протокола Ipv4. |
TTL |
Time To Live – Время жизни пакета соответствует … |
Наименование |
Описание |
Connection Limit |
Предел количества соединений для адреса или подсети. Адрес или подсеть задается полем netmask (для 1 адреса 32). |
Limit |
Предназначено для ограничения количества передаваемых пакетов: Поля: Rate – количество пакетов в секунду (минуту/час). Burst – Количество неучитываемых пакетов (пакетов не входящих в packet rate). |
Dst. Limit |
Ограничение количества передаваемых пакетов по адресу источника/назначения. В отличии от limit, учитываются пакеты для каждого адреса или адреса/порта в зависимости от выбранных опций. Дополнительный поля: Limit By – по какому критерию (src|dst address | address/port) учитывать пакеты. Expire - через какой промежуток времени запомненный адрес/порт будут удалены. |
Nth |
Каждый из: Every – из какого числа пакетов. Packet – сколько. Например Every=3, packet=2 Обозначает «Каждые 2 из 3 пакетов или проще 2/3 пакетов). |
Time |
Время действия правила. Позволяет ограничить действие правила во времени и по дням недели. Так как у маршрутизатора нет аппаратно-независимых часов, для корректной работы опции требуется настроенный SNTP-клиент (System/SNTP-Client) и часовой пояс (System/Clock) |
Src. Address Type |
Тип IP-адреса источника (Local, Unicast, Broadcast, Multicast) |
Dst. Address Type |
Тип IP-адреса назначения (Local, Unicast, Broadcast, Multicast) |
PSD |
Port Scan Detect. Опция позволяющая настроить определение события сканирования портов. Поля: Weight Threshold = При каком значении сработает. Delay Threshold = Максимальная задержка между пакетами с разными портами назначения, пришедшими с одного адреса. Low Port Weight = сколько при подсчете стоит каждый порт в диапазоне 0-1023. High Port Weight = сколько при подсчете стоит каждый порт в диапазоне 1024-65535. |
Hotspot |
Опции, связанные с работой хотспот, если он настроен на маршрутизаторе. |
IP Fragment |
Пакет является фрагментом другого пакета. |
Вкладка Action
Действия задаются на закладке Action сформированного правила, давайте рассмотрим варианты:
Разрешить прохождение пакета. Дальнейшие действия по фильтрации прекращаются, пакет передается на следующий этап обработки.
Добавить адрес назначения пакета в именованный список адресов (address list).
Опции:
Добавить адрес источника пакета в именованный список адресов (address list).
Опции:
Уничтожить пакет. Пакет удаляется и его обработка останавляивается.
Перебросить на собственную цепочку(chain) обработки пакетов.
Log
Записать информацию о пакете в Log-файл. При этом пакет будет обработан следующим правилом (использяется для выявления проблем с прохождением пакета).
Passthrough
Ничего не делать. Передать пакет на следующее правило. Однако при этом счетчики работают, показывая сколько пакетов соответствовало этому правилу. Обычно используется для статистики.
Запретить прохождение пакета и отправить отправляющему узлу ICMP-сообщение об ошибке.
Досрочно прервать обработку собственной цепочки (chain) и вернуться на следующее правило за правилом с Action=jump, которое передало пакет в эту цепочку.
Может использоваться только с протоколом TCP. Суть в том, что маршрутизатор дает разрешение на создание соединения, при этом выставляя нулевое окно передачи (т.е. скорость соединения = 0). Позволяет «завесить» атакующий хост на этом соединении.
Вернемся к настройкам и создадим ПЕРВОЕ ПРАВИЛО.
Мы разрешаем все уже установленные соединения (галочка established) и все зависимые подключения (галочка related)
Вкладка General
Chain - input
Connection State - established и related
Вкладке Action выбираем accept - разрешить прохождение пакета.
ВТОРОЕ ПРАВИЛО.
Разрешаем команду Ping до нашего устройства
Вкладка General
Chain - input
Protocol - icmp
Вкладка Action выбираем accept
ТРЕТЬЕ ПРАВИЛО.
Разрешаем новые соединения по порту 8291 (порт управления winbox) с любого интерфейса
Вкладка General
Chain - input
Protocol - tcp
Any. Port - 8291
Вкладка Action выбираем accept
ЧЕТВЕРТОЕ ПРАВИЛО.
Блокируем все новые соединения с внешнего интерфейса
Обратите внимание, что это правило должно быть ниже предыдущих, иначе если настраиваете роутер удаленно, вы можете потерять к нему доступ!
Вкладка General
Chain - input
In. Interface - l2tp-out1 (наше vpn соединение)
На вкладке Action выбираем drop
Должно получиться следующее:
Обратите внимание сколько по последнему правилу пакетов, хотя правило только создано.
На этом базовая настройка безопасности роутера завершена.
Если вы ищете понятный и удобный источник информации по микротикам, то вот он: курс «Настройка оборудования MikroTik». Это видеоучебник, где «без воды» собрана вся базовая информация по работе с MikroTik и RouterOS. Для новичков станет прямым руководствам, опытные инженеры смогут освежить и упорядочить знания. 162 видеоурока и 45 лабораторных работ, основанные на программе вендора MTCNA. Первые 25 уроков можно заказать бесплатно на странице курса.