Skip to Content
0 Votes
Last modified by Сергей Коршунов on 2023/10/28 21:55
Hide last authors
Сергей Коршунов 1.1 1 == Создание домашней сети на базе устройств MikroTik: Часть 6 — Firewall защита доступа ==
2
3 В прошедших частях мы с Вами настроили единую локальную сеть через EoIP туннель построенном поверх OpenVPN.
4
5 К каким результатам мы пришли: У нас встает вопрос безопасности нашей локальной сети, ведь китайские боты не дремлют и повсевременно сканируют доступное сетевое место на наличие дыр и уязвимостей. Имея статический IP мы находятся под риском быть взломанными (китайские боты не спят!). Т.к. наш статический IP доступен в вебе он может подвергаться различного рода «атакам». Потому нам необходимо сделать так, чтоб только мы могли подключаться к нашим роутерам и другим сервисам в локальной сети. В принципе жесткую защиту мы делать не будем. У нас ведь не корпоративная **сеть**, а домашняя. Данной статьей мы попробуем закрыть самые всераспространенные пробелы в защите нашего роутера и локальной сети в общем. Компанию удаленного подключения мы разглядим в Седьмой статье т.к. эта статья вышла довольно большой по заполнению. Приступим…
6
7 За все операции обработки трафика в сетевых устройствах отвечает так именуемый «Межсетевой экран» (Eng — Firewall) Конкретно он определяет куда отправлять тот либо другой пакет, как обрабатывать соединения и почти все, почти все другое… Чтоб окутать весь диапазон работы Firewall-а не хватит не только лишь одной статьи, да и 10 либо 20 статей точно. Так значительны его способности и варианты внедрения. Кстати это касается не только лишь **MikroTik** RouterOS, а принципа фильтрации трафика в общем (даже на Windows)!
8
9 Давайте взглянем, где находится этот самый Межсетевой экран: Он находится по пути IP. Firewall
10
11
12 [[image:https://hitechradar.com/wp-content/uploads/2022/12/mikrotik-zapretit-ip-dostup-v-lokalnuju-set_22.jpg||alt="mikrotik, запретить, доступ, сеть, настройка"]]
13
14
15 Коротко пробежимся по главным вкладкам окна: 1 — Filter Rules — здесь главные разрешающие и блокирующие правила. 2 — NAT — здесь формируются перенаправления трафика. 3 — Mangle — здесь происходит маркировка соединений и пакетов, отлов определенного вида трафика для предстоящей его обработки. Другие вкладки пока рассматривать не будем, они нам не понадобятся. 4 — Raw — здесь можно правилами отловить паразитный трафик и тем понизить нагрузку на CPU. Полезно для смягчения DOS атак. 5 — Service Ports — Для неких сетевых протоколов требуется прямое двухстороннее соединение меж конечными точками. Это не всегда может быть, так как трансляция сетевых адресов обширно употребляется для подключения клиентов к сети. Это подменю позволяет настроить «помощники отслеживания соединений» для вышеупомянутых протоколов. Эти «помощники» употребляются для обеспечения правильного обхода NAT. 6 — Connections — здесь показываются все текущие соединения проходящие через маршрутизатор. 7 — Address List — здесь списки адресов брандмауэра позволяют юзеру создавать списки Айпишников, сгруппированных под общим именованием. Потом фильтры брандмауэра, Mangle и NAT могут использовать эти списки адресов для сравнения пакетов с ними. 8 — Layer7 Protocols — здесь можно создавать шаблоны для поиска в потоках ICMP / TCP / UDP. L7 собирает 1-ые 10 пакетов соединения либо 1-ые 2KB соединения и отыскивает шаблон в собранных данных.
16
17 Часть определений может показаться непонятной, но в этом нет ничего ужасного, мы будем работать только с первым пт Filter Rules. Хотя в нем тоже, сильно много вариантов сотворения правил. Сходу необходимо обмолвиться, что полной безопасности Для вас никто не обеспечит и это принципиально осознавать! Но страшатся не стоит, мы ведь не пользующаяся популярностью компания за которой ведется промышленный шпионаж, нам довольно превентивных мер ~)~)~))
18
19 Конфигурация по дефлоту: Здесь я желаю поделиться с Вами конфигурацией, которой хватит для обычного домашнего использования.
20
21
22 [[image:https://hitechradar.com/wp-content/uploads/2022/12/mikrotik-zapretit-ip-dostup-v-lokalnuju-set_23.jpg||alt="mikrotik, запретить, доступ, сеть, настройка"]]
23
24 >/ip firewall filter add chain=input comment=INPUT connection-state=established,related add chain=input protocol=icmp add action=drop chain=input in-interface=WAN add action=drop chain=forward comment=FORWARD connection-state=invalid add action=drop chain=forward connection-nat-state=!dstnat connection-state=new in-interface=WAN
25
26
27 Но я делаю несколько по собственному, может быть что-то здесь не совершенно, но это мои тараканы )) 1. Перейдем к созданию правил в Filter Rules. Отступление: Все правила добавленные в таблицу используются поочередно, сверху вниз. Будьте аккуратны не добавляйте сходу правило, блокирующее все что только можно. Вы сможете утратить **доступ** к роутеру тогда и придется его сбрасывать и перенастраивать поновой. Я рекомендую использовать волшебную кнопку Safe Mode для таких целей. Если эта кнопка нажата и Вас отключит от роутера, опции возвратятся к моменту нажатия на эту кнопку. Очень нужная вещь, в особенности если Вы работаете удаленно.
28
29 Правила добавляются по уже знакомой нам кнопке плюс…
30
31 1.1. Перво наперво нам необходимо разрешить уже установленные(Established) и связанные(Related) соединения и скинуть неправильные(Invalid) соединения на входе в роутер(цепочка Input). Так мы снизим нагрузку на маршрутизатор. Для чего повторно обрабатывать эти соединения если они уже и так установлены либо неопознаны. Экономим ресурсы микропроцессора. А вот новые соединения этими правилами обрабатываться не будут, пусть даже они находятся выше в таблице.
32
33
34 [[image:https://hitechradar.com/wp-content/uploads/2022/12/mikrotik-zapretit-ip-dostup-v-lokalnuju-set_25.jpg||alt="mikrotik, запретить, доступ, сеть, настройка"]]
35
36
37 == Создаем профиль безопасности для Wi-Fi ==
38
39 Заходим в раздел Wireless (беспроводная **сеть**), переходим к вкладке Security Profiles и создаем новый профиль безопасности для беспроводного соединения, в нашем случае это будет «free-Wi-Fi» (WPA2 PSK AES). Можно также выбрать «Mode: none», в этом случае для доступа к сети вводить пароль не требуется (открытая **сеть**).
40
41
42 [[image:https://hitechradar.com/wp-content/uploads/2022/12/mikrotik-zapretit-ip-dostup-v-lokalnuju-set_29.jpg||alt="mikrotik, запретить, доступ, сеть, настройка"]]
43
44
45 == Создаем новый беспроводной интеейс ==
46
47 Возвращаемся на вкладку Interfaces (интеейсы), в левой части нажимаем синий плюс, затем в выпадающем меню выбираем «Virtual AP» для создания виртуальной точки доступа. Указываем желаемое имя сети (SSID), в качестве мастер-интеейса будет выступать wlan1. В поле Security Profile не забудьте выбрать созданный профиль безопасности.
48
49
50 [[image:https://hitechradar.com/wp-content/uploads/2022/12/mikrotik-zapretit-ip-dostup-v-lokalnuju-set_30.jpg||alt="mikrotik, запретить, доступ, сеть, настройка"]]
51
52
53 После этих действий, под wlan1 добавится виртуальный интеейс.
54
55
56 [[image:https://hitechradar.com/wp-content/uploads/2022/12/mikrotik-zapretit-ip-dostup-v-lokalnuju-set_31.jpg||alt="mikrotik, запретить, доступ, сеть, настройка"]]
57
58
59 == MikroTik настройка firewall. Connection Tracker ==
60
61 Connection Tracker выполняет следующие функции:
62
63 * Содержит информацию обо всех активных соединениях;
64 * Отвечает за управление соединениями;
65 * Отвечает за дефрагментацию пакетов;
66 * Влияет на загрузку процессора.
67
68 Место Connection Tracker на схеме Traffic Flow:
69
70
71 [[image:https://hitechradar.com/wp-content/uploads/2022/12/mikrotik-zapretit-ip-dostup-v-lokalnuju-set_26.jpg||alt="mikrotik, запретить, доступ, сеть, настройка"]]
72
73
74 По умолчанию Connection Tracker работает в режиме auto. Это значит, что он будет работать тогда, когда для firewall будет создано хотя бы одно правило. Помимо этого, могут быть установлены следующие режимы:
75
76 * Yes – всегда работает.
77 * No – отключен. При этом не будут отслеживаться состояния подключений, NAT и большая часть функционала брандмауэра (не будет работать маркировка соединений, протокол L7 и многое другое).
78
79 === Connection State. Состояние соединений ===
80
81 С помощью правил мы можем обрабатывать пакеты на основании их состояния. Любое соединение будет находиться в одном из следующих состояний:
82
83 * New – это новое соединение. Например, кто-то обращается к нашему маршрутизатору запросом ping и первый пакет что приходит, получит данное состояние;
84 * Established – после того как запрос идет дальше, он переходит в состояние установленное;
85 * Related – связанное. Такое состояние появляется, например, когда клиент посылает запрос серверу, который недоступен и клиент получает ответ от роутера.
86 * Invalid – не идентифицированное. Подключение, которое маршрутизатор не может опознать.
87 * Notrack – создается для Raw Filter, минуя Connection Tracker. Поэтому пакеты не фрагментируются.
88
89 Connection State не совпадает с TCP State.
90
91 === Connection List ===
92
93 На вкладке “Connections”, можно увидеть информацию о всех подключениях. Выглядит это следующим образом:
94
95 Давайте посмотрим какие данные мы можем получить:
96
97 * Src. Address Port – исходящий IP-адрес и порт;
98 * Dst. Address Port – IP-адрес и порт назначения;
99 * Protocol – протокол;
100 * Connection Mark – маркировку подключения;
101 * Timeout – время жизни соединения;
102 * TCP State – состояние TCP соединения (established, close, time-wait, syn-sent, syn-received).
103
104 Все свойства, указанные во вкладке Connection List, предназначены только для чтения.
105
106 == MikroTik firewall. Общее описание ==
107
108 Основное назначение брандмауэра является то, что на основании правил разрешать или запрещать передачу данных из одной сети в другую.
109
110 Настройка безопасности маршрутизатора MikroTik может быть реализована двумя способами:
111
112 * Нормально открытый. Данный способ организации защиты предполагает, что все будет разрешено, что не запрещено;
113 * Нормально закрытый. При этом виде настройки firewall все запрещено, что не разрешено.
114
115 Для данной статьи мы рассмотрим пример нормально закрытого брандмауэра. Так как, на мой взгляд, нормально открытый имеет ряд недостатков:
116
117 Важно! Рекомендуем выполнять настройку firewall при удаленном подключении к **MikroTik** используя режим Safe Mode.
118
119 В случае неправильной настройки бранмауэра и потери доступа к устройству, данная функция поможет восстановить подключение, отменив внесенные изменения. Подробнее узнать о безопасном режиме можно в материале: MikroTik Safe Mode.
120
121
122 [[image:https://hitechradar.com/wp-content/uploads/2022/12/mikrotik-zapretit-ip-dostup-v-lokalnuju-set_28.jpg||alt="mikrotik, запретить, доступ, сеть, настройка"]]
123
124
125 === Firewall на MikroTik. Порядок расположения правил ===
126
127 Работу брандмауэра **MikroTik** условно можно разделить на две части: условие (если…) и действие (то…). Могут содержать несколько условий, при этом, чтобы правило сработало должны быть выполнены все условия.
128
129 Правила должны состоять в цепочке (chain):
130
131 А также подразделяются на терминирующие и нетерминирующие:
132
133 * терминирующие: accept, drop, fasttrack, reject, tarpit;
134 * нетерминирующие: add dst to address list, add source to address list, jump, log, return, passthrough.
135
136 Терминирующие правила содержат окончательное действие – принять, отклонить.
137
138 Нетерминирующие – просто производят какой-то процесс – занести в лог, добавить в address list.
139
140 При настройке firewall MikroTik важно соблюдать последовательность правил, так как обрабатываются они по порядку и сразу с нужной цепочки.
141
142 Обработка заканчивается после первого совпадения с терминирующим правилом. Если совпадения нет, то пакет отправляется на следующий этап обработки по схеме прохождения трафика.
143
144 == Базовая **настройка MikroTik** с нуля при помощи Winbox ==
145
146 Как говорилось ранее, базовая настройка MikroTik с нуля будет выполняться с помощью фирменной утилиты Winbox. Запустим Winbox и подключимся к маршрутизатору по MAC адресу:
147
148
149 [[image:https://hitechradar.com/wp-content/uploads/2022/12/mikrotik-zapretit-ip-dostup-v-lokalnuju-set_27.jpg||alt="mikrotik, запретить, доступ, сеть, настройка"]]
150
151
152 === Установка пароля ===
153
154 Так как на MikroTik пароль по умолчанию отсутствует, то его следует обязательно назначить сразу же после подключения.
155
156 === MikroTik **настройка** WAN ===
157
158 Если объяснять своими словами, WAN — это интернет. Если говорим о роутере, то подразумевается разъем, куда подключается кабель интернет-провайдера. В **Mikrotik** для WAN может быть назначен любой порт, но мы настроим соединение с провайдером на первом порту(Ether1).
159
160 В MikroTik настройка интернета начинается с того, что нам нужно определить тип соединения, предоставляемый провайдером. Такая информация прописывается в договоре.
161
162 === PPPoE ===
163
164 Это протокол для передачи данных. Сегодня редко используется провайдерами для предоставления своих услуг, уступая место более надежным и современным видам подключений.
165
166 Выполним настройку PPPoE-клиента для подключения к провайдеру:
167
168 На вкладке Dial Out сконфигурируем подключение, указав свои данные:
169
170 * Логин и пароль подключения (эти данные можно взять из договора с интернет-провайдером).
171
172 * Use Peer DNS – если мы хотим указать свои DNS сервера, то нужно снять галочку с этого пункта. В нашем примере мы будем использовать DNS провайдера, поэтому оставим это поле без изменений;
173 * Add Default Route – маршрут по умолчанию будет прописываться автоматически;
174 * OK.
175
176 === Настройка WAN: Динамический IP ===
177
178 Данный вид настройки подключения MikroTik для доступа в интернет считается самым простым, так как все нужные сетевые значения, присваиваются автоматически. Нам только нужно создать DHCP-клиент и указать ему интеейс. Делается это следующим образом:
179
180
181 [[image:https://hitechradar.com/wp-content/uploads/2022/12/mikrotik-zapretit-ip-dostup-v-lokalnuju-set_40.jpg||alt="mikrotik, запретить, доступ, сеть, настройка"]]
182
183
184 В данной настройке WAN подключения интеейс Ether1 получит сетевые настройки автоматически от провайдера. Если мы хотим указать свои DNS сервера, то необходимо снять галочку с пункта «Use Peer DNS».
185
186 Если мы все сделали правильно, то в поле IP Address отобразится наш IP и статус подключения (Status) изменится на значение bound (связанный). Соединение с интернетом установлено.
187
188 Не забывайте, что если у провайдера есть привязка к MAC-адресу оборудования, то даже правильное выполнение всех перечисленных действий не даст результата. После окончания настройки необходимо позвонить провайдеру и “привязать” маршрутизатор.
189
190 === Настройка WAN: статический IP ===
191
192 MikroTik настройка интернета со статическим адресом. При таком типе подключения мы получаем основные сетевые настройки от провайдера и настраиваем WAN подключение вручную. Для наглядности представим, что получили от интернет-провайдера следующие параметры подключения:
193
194 Обратите внимание, что маску подсети можно указать полным форматом, как показано на рисунке выше. Так и сокращенным: 172.16.13.25/24.
195
196 Следующим этапом настройки добавим шлюз (Gateway), еще его называют «маршрут по умолчанию». Для этого откроем:
197
198 Укажем ДНС сервера провайдера или известные публичные ДНС (например, Google: 8.8.8.8, 8.8.4.4), с помощью которых будет выполняться преобразование IP-адресов в доменные имена. Откроем:
199
200
201 [[image:https://hitechradar.com/wp-content/uploads/2022/12/mikrotik-zapretit-ip-dostup-v-lokalnuju-set_41.jpg||alt="mikrotik, запретить, доступ, сеть, настройка"]]
202
203
204 === Добавим WAN в Interface List ===
205
206 Чтобы дальнейшая настройка Микротик была универсальна независимо от того, какой тип WAN подключения вы используете, добавим WAN-интеейс в новый Interface List.
207
208 Создадим новый интеейс лист с именем «ISP»:
209
210
211 [[image:https://hitechradar.com/wp-content/uploads/2022/12/mikrotik-zapretit-ip-dostup-v-lokalnuju-set_32.jpg||alt="mikrotik, запретить, доступ, сеть, настройка"]]
212
213
214 Если тип подключение PPPoE, то добавлять надо именно это соединение (pppoe-out1).
215
216 На данном этапе настройки роутера MikroTik должен появиться **доступ** в интернет на самом устройстве. Проверить это можно, запустив терминал (New Terminal), и опросить какой-нибудь узел глобальной сети, например ya.ru:
217
218
219 [[image:https://hitechradar.com/wp-content/uploads/2022/12/mikrotik-zapretit-ip-dostup-v-lokalnuju-set_46.jpg||alt="mikrotik, запретить, доступ, сеть, настройка"]]
220
221
222 Мы видим время ответа узла, значит, **настройка** WAN выполнена правильно и MikroTik выходит в глобальную **сеть**.
223
224 === MikroTik настройки LAN ===
225
226 В следующем шаге базовой настройки MikroTik мы объединим порты и беспроводные адаптеры в одну локальную **сеть**, настроим автоматическое получение основных сетевых настроек и разрешим хостам этой сети **доступ** в интернет.
227
228 === Интеейс Bridge ===
229
230 Чтобы объединить порты и Wi-Fi адаптеры в локальную сеть, необходимо создать интеейс Bridge. Давайте посмотрим, как это сделать:
231
232
233 [[image:https://hitechradar.com/wp-content/uploads/2022/12/mikrotik-zapretit-ip-dostup-v-lokalnuju-set_45.jpg||alt="mikrotik, запретить, доступ, сеть, настройка"]]
234
235
236
237 [[image:https://hitechradar.com/wp-content/uploads/2022/12/mikrotik-zapretit-ip-dostup-v-lokalnuju-set_44.jpg||alt="mikrotik, запретить, доступ, сеть, настройка"]]
238
239
240 Добавим все порты (кроме WAN) и беспроводные адаптеры в интеейс Bridge1, как показано на рисунке выше. По окончании настройки у нас должно получиться следующее:
241
242
243 [[image:https://hitechradar.com/wp-content/uploads/2022/12/mikrotik-zapretit-ip-dostup-v-lokalnuju-set_42.jpg||alt="mikrotik, запретить, доступ, сеть, настройка"]]
244
245
246 === **Настройка** IP внутренней сети (LAN): ===
247
248 Назначим для внутренней подсети 12 сегмент и внутренний адрес маршрутизатора Mikrotik 192.168.12.254:
249
250
251 [[image:https://hitechradar.com/wp-content/uploads/2022/12/mikrotik-zapretit-ip-dostup-v-lokalnuju-set_38.jpg||alt="mikrotik, запретить, доступ, сеть, настройка"]]
252
253
254 === Создание и настройка DHCP-сервера ===
255
256 DHCP Server (Dynamic Host Configuration Protocol) – это сетевой протокол, который динамически назначает необходимые для работы в сети значения: IP адрес, маску подсети, шлюз и др.
257
258 Укажем интеейс, на котором будет работать DHCP-сервер (Bridge1). Назначим адресное пространство локальной сети.
259
260 == Что нужно сделать после настройки MikroTik ==
261
262 Базовая настройка MikroTik для подступа в интернет закончена. Мы настроили WAN подключение до провайдера, сконфигурировали локальную и беспроводную **сеть**, выполнили настройку firewall и NAT.
263
264 Хочется дать несколько рекомендаций, которые повысят безопасность и надежность работы маршрутизатора MikroTik.
265
266 === Создать нового пользователя ===
267
268 Создание нового пользователя с уникальным именем и сложным паролем будет дополнительной защитой от брутфорс атак.
269
270 После чего отключим системную учетную запись.
271
272 === Отключить неиспользуемые сервисы ===
273
274 Если вы не собираетесь настраивать MikroTik через веб-интеейс, telnet и тому подобное, то есть смысл отключить данные сервисы, так как они могут нести потенциальную опасность.
275
276 Таким образом, мы оставили возможность подключения по ssh и Winbox.
277
278 === Настроить правильное время ===
279
280 Настроить правильное время важно по нескольким причинам:
281
282 Для синхронизации времени на MikroTik есть встроенный SNTP-клиент.
283
284
285
286 === **MikroTik** Router | block all ip addresses login to MikroTik Router ===
287
288
289
290
291 [[image:https://hitechradar.com/wp-content/uploads/2022/12/mikrotik-zapretit-ip-dostup-v-lokalnuju-set_47.jpg||alt="mikrotik, запретить, доступ, сеть, настройка"]]
292
293
294 === Отключить службу MAC-Telnet и протокол MNDP ===
295
296 MNDP – это служба обнаружения маршрутизаторов в сети. С ее помощью MikroTik получают информацию друг о друге. Протокол передает данные о версии ОП и некоторых функциях, которые включены в роутере.
297
298 Однако если в сети несколько роутеров Микротик или Cisco, то эта функция будет полезна. Настроим ее следующим образом:
299
300 Назначим ему интеейс локальной сети(LAN).
301
302 Аналогичным образом сконфигурируем MAC-Telnet.
303
304 === Экспорт конфигурации ===
305
306 MikroTik сконфигурирован и готов к работе. На этом этапе необходимо сделать полную резервную копию системы в rsc формате.
307
308 RSC файл содержит настройки системы записанную командами, его можно открыть в текстовом редакторе, развернуть на другом оборудовании и многое другое.
309
310
311 [[image:https://hitechradar.com/wp-content/uploads/2022/12/mikrotik-zapretit-ip-dostup-v-lokalnuju-set_43.jpg||alt="mikrotik, запретить, доступ, сеть, настройка"]]
312
313
314 Экспорт делается командой: export file=full—system
315
316 Где full-system – это произвольное имя файла.
317
318
319 [[image:https://hitechradar.com/wp-content/uploads/2022/12/mikrotik-zapretit-ip-dostup-v-lokalnuju-set_48.jpg||alt="mikrotik, запретить, доступ, сеть, настройка"]]
320
321
322 Нажимаем на файл левой кнопкой мыши, перетаскиваем его в любое место рабочего стола.
323
324 == Mikrotik. Разрешаем и запрещаем. ==
325
326 С помощью **Mikrotik** routerboard мы организовали доступ к сети интернет для нескольких компьютеров, к примеру офис или несколько соседей объединённых локальной сетью. Всё хорошо, все довольны и пользуются интернетом. В офисе вместо работы — «одноклассники» и «в контакте», или онлайн игры. С соседями тоже бывают проблемы: платить не хотят, но интернетом продолжают пользоваться. Нужно решать проблему.
327
328 В mikrotik routerboard есть FIREWALL на основе Netfilter и утилиты IPTABLES.
329
330 FIREWALL — Межсетевой экран или сетевой экран — комплекс аппаратных или программных средств, осуществляющий контроль и фильтрацию проходящих через него сетевых пакетов на различных уровнях модели OSI в соответствии с заданными правилами.
331
332 Netfilter — межсетевой экран (брандмауэр), встроен в ядро Linux.
333
334 IPTABLES — утилита командной строки, является стандартным интеейсом управления работой межсетевого экрана (брандмауэра) netfilter для ядер Linux.
335
336 С их помощью можно **запретить** определённым пользователям доступ в интернет. Переходим непосредственно к настройке Mikrotik routerboard. Выполняем стандартную процедуру подключения к mikrotik routerboard через Winbox.
337
338 Запрещаем **доступ** к Интернет для компьютера с IP адресом 192.168.1.3. Переходим в раздел IP FIREWALL.
339
340 Здесь нас интересует первая вкладка Filter Rules (правила фильтра). Создаем запрещающее правило для IP 192.168.1.3.
341
342
343 [[image:https://hitechradar.com/wp-content/uploads/2022/12/mikrotik-zapretit-ip-dostup-v-lokalnuju-set_10.jpg||alt="mikrotik, запретить, доступ, сеть, настройка"]]
344
345
346 Нажимаем плюс на вкладке General, выбираем Chain (Цепочка) – forward (проходящий трафик). В Src.Address вводим IP-адрес того компьютера, которому нужно **запретить доступ**. Переходим на вкладку Action (Действие).
347
348 Здесь мы выбираем нужное нам действие, то есть что делать с трафиком соответствующим этому правилу. Выбираем DROP – запрещаем прохождение трафика. Правило создано.
349
350 Балансировка через маршруты. Соединения вперемешку будут идти через WAN1 или WAN2
351
352 Метод хорошо работает при каналах приблизительно равных по скорости.
353
354 Разница по скорости каналов не должна отличаться более чем в 2 раза.
355
356 В Мангле – эти правила поднимите наверх.
357
358 Можно добавить еще маршрут без маркировки на всякий пожарный:
359
360 В IP – DHCP Client – Add Default Route – можно отключить
361
362 Важно! При каналах сильно отличающихся по скорости он мало эффективен.
363
364 В таком случае советую использовать резервирование каналов по п. 6.10.
365
366
367
368 === Block IP Modem and Allow for Specified IP in Mikrotik Router ===
369
370
371
372 Слабый канал погоды все-равно не сделает. А скоростному мешать будет.
373
374 == .12. Запрет определенных сайтов по имени. ==
375
376 Открываем New Terminal. И вставляем наше правило. Не забудьте поднять его наверх.
377
378 Можете также вручную кнопкой [] создать это правило.
379
380 Все. сайт mikrotik.org больше не откроется.
381
382 Тем самым Вы блокируете только исходящие запросы еще на взлете.
383
384 Роутеру уже на нужно фильтровать входящие пакеты от этого сайта,
385
386 потому как Входящих пакетов само собой дальше уже не будет.
387
388 А исходящий трафик обычно в 10-20 раз меньше входящего.
389
390 Да и фильтруются только исходящие TCP запросы.
391
392 Кроме того сами исходящие GET-запросы копеечные по трафику – до 200-500 байт. Они помещаются в один пакет.
393
394 Т.к. что нагрузка на правило content – мизерная.
395
396 Кроме того не будут блокироваться сайты, содержащие строчку Host: mikrotik.org
397
398 и будут проходить get-запросы содержащие строчку mikrotik.org.
399
400 src-address – ставим IP компьютера-жертвы.
401
402 content=”Host: mikrotik.org” – блокируемый сайт
403
404 Если нужно блокировать **доступ** к сайту для всех компов, убираем эту строчку src-address.
405
406 Если нужно блокировать только определенным компьютерам – то создайте во вкладке address-list, записи с IP блокируемых компьютеров. И назовите эти записи к примеру block-website.
407
408 А вот Этот адрес-лист укажите уже в записи Src.Address List. Src-address – удалите
409
410 == Вместо заключения ==
411
412 Мы рассмотрели основные команды для выстраивания базовой защиты для устройств на базе RouterBoard, а также облачной версии Mikrotik CHR и взглянули на то, как можно парой команд настроить NAT. Разумеется, для каждого неиспользуемого сервиса можно закрыть **доступ** извне, исходя из используемых портов, протоколов и типа трафика.
413
414 Угроз безопасности с каждым днем становится все больше и каждая из них заслуживает внимания и адекватного ответа.
415
416 == Firewall Chain ==
417
418 В Mikrotik существуют следующие цепочки
419
420 Input – цепочка для обработки пакетов поступающих на маршрутизатор, имеющих в качестве адреса назначение IP самого маршрутизатора.
421
422 Forward – в этой цепочки обрабатываются пакеты проходящие через маршрутизатор
423
424 Output – цепочка для обработки пакетов созданных маршрутизатором, например когда мы с маршрутизатора пингуем или подключаемся по telnet
425
426 Из описания понятно, что для защиты маршрутизатора нужно использовать цепочку input. А для обработки трафика от пользователей и к пользователям использовать chain forward. Использование Output мне не приходилось.
427
428 == Firewall Action ==
429
430 В цепочках можно осуществлять следующие действия
431
432 |Параметр|Действие
433 |Accept|Разрешить
434 |add-dst-to-address-list|Добавить IP назначение в список адресов указанный в Address List
435 |add-src-to-address-list|Добавить IP источника в список адресов указанный в Address List
436 |Drop|**запретить**
437 |fasttrack-connection|Обрабатывать пакеты включив FastTrack т.е пакеты будут проходить по самому быстрому маршруту, минуя остальные правила firewall и обработку в очередях
438 |Jump|Прыжок, переход на другую цепочку заданную в Jump target
439 |log|Запись в лог
440 |passthrough|Перейти к следующему правилу не делая никаких действий(полезно для сбора статистики)
441 |Reject|Отбить пакет с причиной указанной в Reject with
442 |Return|Вернуть пакет в цепочку из который он пришел
443 |tarpit|захватывает и поддерживает TCP-соединения (отвечает с SYN / ACK на входящий пакет TCP SYN)
444
445 == Пользователь и пароль ==
446
447 Теперь надо заменить пользователя по умолчанию и установить ему пароль.
448
449 Создаем нового пользователя с правами администратора.
450
451 После чего закрываем программу Winbox, запускаем его заново и заходим под новым пользователем, открываем меню System/Users и отключаем учетную запись администратора.
452
453 На этом подготовительные операции можно считать законченными. Переходим к настройке firewall.
454
455 == **Настройка** файрвола ==
456
457 То есть, исходя из состояний соединения и цепочек, общие правила защиты маршрутизатора можно сформулировать как:
458
459 * Мы работаем только с цепочкой input;
460 * Мы пропускаем соединения с состоянием established и related, как уже установленные;
461 * Мы пропускаем протокол ICMP;
462 * Мы считаем как WAN, так и DMZ недоверенными сетями;
463 * Мы разрешаем прохождение некоторого трафика на маршрутизатор. Остальной трафик блокируем.
464
465 Теперь давайте определим разрешенный трафик с недоверенных интеейсов. Итак, мы разрешаем:
466
467 * TCP порт 8291 – winbox, удаленное управление снаружи;
468 * 65522 ssh на измененном порту;
469 * Предположим, что у нас в дальнейшем будет настраиваться VPN-сервер по протоколу PPTP и мы разрешим порт 1723 по протоколу TCP.
470
471 Также с этого момента мы начинаем работать с командной строкой маршрутизатора. Все команды вставляются в терминал маршрутизатора. Если необходимо – вы можете посмотреть в графическом интеейсе, что конкретно было сделано. Очень скоро вы научитесь читать команды и соотносить их с графическим интеейсом.
472
473 Определяем так называемые bogon-сети (сети приватных или не распределенных IP-адресов).
474
475 И запрещаем с этих подсетей соединения на WAN-порт маршрутизатора:
476
477 Разрешаем все уже установленные подключения (connection state=established):
478
479 Разрешаем все зависимые подключения (connection state=related):
480
481 Разрешаем новые соединения по портам 65522 и 8291 с любого интеейса:
482
483 Разрешаем новые соединения по порту 1723 (PPTP) любого интеейса:
484
485 И блокируем все новые соединения со всех интеейсов, кроме LAN:
486
487 На этом базовая **настройка** безопасности маршрутизатора завершена. В следующей части мы рассмотрим защиту локальной сети, демилитаризованной зоны и создание собственных цепочек фильтрации трафика.