Базовая настройка Firewall в Mikrotik

Необходимо задать ряд правил для цепочек input (входящий в роутер трафик), при необходимости – forward (проходящий через роутер трафик). Для этого мы подключаемся к нашему роутеру, можно через winbox и далее запустив в нем терминал выполняем команды, порядок важен!

Создадим список интерфейсов WAN, с использованием которого и будет настроен файервол. А еще настроим, чтобы сетевое обнаружение  (neighbors) работало только в локальной сети. Создадим локальный список интерфейсов, затем настроим обнаружение:

/interface list 

add name=WAN
member add interface=ether1 list=WAN
add name=LAN
member add interface=bridge-local list=LAN

/ip neighbor discovery-settings set discover-interface-list=LAN

Первые правила снижают нагрузку на процессор, т.к. 99% трафика будет проходить через них

/ip firewall filter 

add action=accept chain=input connection-state=established,related comment="Accept established & related connections"

add action=accept chain=forward connection-state=established,related

Следующие правила блокируют invalid трафик:

add chain=input connection-state=invalid action=drop comment="Drop invalid connections"

add chain=forward connection-state=invalid action=drop

Если за роутером располагаются какие-либо сервисы с доступом к ним из вне, имеет смысл защититься дополнительно. Первым делом фиксируем соединения снаружи по популярными стандартным портам. Поскольку стандартные порты не используются для доступа к сервисам – все эти обращения не санкционированы. Заносим в список адреса, с которых они приходят и блокируем доступ для этого списка.

add action=add-src-to-address-list address-list="StandartPorts_Hackers" address-list-timeout=3d0h0m chain=input comment="list Standart Ports TCP" connection-state=new dst-port=22,23,443,80,3389,8291 in-interface-list=WAN protocol=tcp

add action=add-src-to-address-list address-list="StandartPorts_Hackers" address-list-timeout=3d0h0m chain=input comment="list Standart Ports UDP" connection-state=new dst-port=53,5060,5061 in-interface-list=WAN protocol=udp 

add chain=input src-address-list="StandartPorts_Hackers" action=drop comment="dropping StandartPorts_Hackers" disabled=no

Далее защитимся от сканирования портов

add chain=input protocol=tcp in-interface-list=WAN psd=21,3s,3,1 action=add-src-to-address-list address-list="Port_Scanners" address-list-timeout=3d comment="Port_Scanners to list " disabled=no

add chain=input src-address-list="Port_Scanners" action=drop comment="dropping Port_Scanners" disabled=no

Защита от перебора паролей при подключении через порт winbox – 8291:

add chain=input protocol=tcp dst-port=8291 in-interface-list=WAN src-address-list=winbox_blacklist action=drop comment="drop winbox brute forcers" disabled=no

add chain=input protocol=tcp dst-port=8291 in-interface-list=WAN connection-state=new src-address-list=winbox_stage3 action=add-src-to-address-list address-list=winbox_blacklist address-list-timeout=60m comment="" disabled=no

add chain=input protocol=tcp dst-port=8291 in-interface-list=WAN connection-state=new src-address-list=winbox_stage2 action=add-src-to-address-list address-list=winbox_stage3 address-list-timeout=1m comment="" disabled=no

add chain=input protocol=tcp dst-port=8291 in-interface-list=WAN connection-state=new src-address-list=winbox_stage1 action=add-src-to-address-list address-list=winbox_stage2 address-list-timeout=1m comment="" disabled=no

add chain=input protocol=tcp dst-port=8291 in-interface-list=WAN connection-state=new action=add-src-to-address-list address-list=winbox_stage1 address-list-timeout=1m comment="" disabled=no

Разрешаем Winbox:

add chain=input protocol=tcp dst-port=8291 in-interface-list=WAN action=accept comment="Allow Winbox"

Последние правила запрещают прохождение всех остальных пакетов снаружи:

add chain=input in-interface-list=WAN action=drop comment="All other drop"

add chain=forward action=drop in-interface-list=WAN connection-state=new connection-nat-state=!dstnat comment="Drop all from WAN not DSTNATed"

Осталось только включить преобразование сетевых адресов (NAT) для локальной сети

/ip firewall

address-list add address=192.168.88.0/24 list=LAN
nat add chain=srcnat out-interface-list=WAN action=masquerade

Для повышения безопасности, не забываем отключить ненужные сервисы. Можно, к примеру, оставить только winbox:

/ip service 

set api disabled=yes
set api-ssl disabled=yes
set ftp disabled=yes
set ssh disabled=yes
set telnet disabled=yes
set www-ssl disabled=yes
set www disabled=yes