Необходимо задать ряд правил для цепочек input (входящий в роутер трафик), при необходимости – forward (проходящий через роутер трафик). Для этого мы подключаемся к нашему роутеру, можно через winbox и далее запустив в нем терминал выполняем команды, порядок важен!
Создадим список интерфейсов WAN, с использованием которого и будет настроен файервол. А еще настроим, чтобы сетевое обнаружение (neighbors) работало только в локальной сети. Создадим локальный список интерфейсов, затем настроим обнаружение:
/interface list add name=WAN member add interface=ether1 list=WAN add name=LAN member add interface=bridge-local list=LAN /ip neighbor discovery-settings set discover-interface-list=LAN
Первые правила снижают нагрузку на процессор, т.к. 99% трафика будет проходить через них
/ip firewall filter
add action=accept chain=input connection-state=established,related comment="Accept established & related connections"
add action=accept chain=forward connection-state=established,related
Следующие правила блокируют invalid трафик:
add chain=input connection-state=invalid action=drop comment="Drop invalid connections"
add chain=forward connection-state=invalid action=drop
Если за роутером располагаются какие-либо сервисы с доступом к ним из вне, имеет смысл защититься дополнительно. Первым делом фиксируем соединения снаружи по популярными стандартным портам. Поскольку стандартные порты не используются для доступа к сервисам – все эти обращения не санкционированы. Заносим в список адреса, с которых они приходят и блокируем доступ для этого списка.
add action=add-src-to-address-list address-list="StandartPorts_Hackers" address-list-timeout=3d0h0m chain=input comment="list Standart Ports TCP" connection-state=new dst-port=22,23,443,80,3389,8291 in-interface-list=WAN protocol=tcp add action=add-src-to-address-list address-list="StandartPorts_Hackers" address-list-timeout=3d0h0m chain=input comment="list Standart Ports UDP" connection-state=new dst-port=53,5060,5061 in-interface-list=WAN protocol=udp add chain=input src-address-list="StandartPorts_Hackers" action=drop comment="dropping StandartPorts_Hackers" disabled=no
Далее защитимся от сканирования портов
add chain=input protocol=tcp in-interface-list=WAN psd=21,3s,3,1 action=add-src-to-address-list address-list="Port_Scanners" address-list-timeout=3d comment="Port_Scanners to list " disabled=no add chain=input src-address-list="Port_Scanners" action=drop comment="dropping Port_Scanners" disabled=no
Защита от перебора паролей при подключении через порт winbox – 8291:
add chain=input protocol=tcp dst-port=8291 in-interface-list=WAN src-address-list=winbox_blacklist action=drop comment="drop winbox brute forcers" disabled=no add chain=input protocol=tcp dst-port=8291 in-interface-list=WAN connection-state=new src-address-list=winbox_stage3 action=add-src-to-address-list address-list=winbox_blacklist address-list-timeout=60m comment="" disabled=no add chain=input protocol=tcp dst-port=8291 in-interface-list=WAN connection-state=new src-address-list=winbox_stage2 action=add-src-to-address-list address-list=winbox_stage3 address-list-timeout=1m comment="" disabled=no add chain=input protocol=tcp dst-port=8291 in-interface-list=WAN connection-state=new src-address-list=winbox_stage1 action=add-src-to-address-list address-list=winbox_stage2 address-list-timeout=1m comment="" disabled=no add chain=input protocol=tcp dst-port=8291 in-interface-list=WAN connection-state=new action=add-src-to-address-list address-list=winbox_stage1 address-list-timeout=1m comment="" disabled=no
Разрешаем Winbox:
add chain=input protocol=tcp dst-port=8291 in-interface-list=WAN action=accept comment="Allow Winbox"
Последние правила запрещают прохождение всех остальных пакетов снаружи:
add chain=input in-interface-list=WAN action=drop comment="All other drop" add chain=forward action=drop in-interface-list=WAN connection-state=new connection-nat-state=!dstnat comment="Drop all from WAN not DSTNATed"
Осталось только включить преобразование сетевых адресов (NAT) для локальной сети
/ip firewall address-list add address=192.168.88.0/24 list=LAN nat add chain=srcnat out-interface-list=WAN action=masquerade
Для повышения безопасности, не забываем отключить ненужные сервисы. Можно, к примеру, оставить только winbox:
/ip service set api disabled=yes set api-ssl disabled=yes set ftp disabled=yes set ssh disabled=yes set telnet disabled=yes set www-ssl disabled=yes set www disabled=yes