Jak nastavit Firewall na Mikrotiku

Last Updated: 29. 12. 2022Categories: IT, Mikrotik

„Firewall je síťové zařízení, které slouží k řízení a zabezpečování síťového provozu mezi sítěmi s různou úrovní důvěryhodnosti a zabezpečení. Zjednodušeně se dá říct, že slouží jako kontrolní bod, který definuje pravidla pro komunikaci mezi sítěmi, které od sebe odděluje.

Tato pravidla historicky vždy zahrnovala identifikaci zdroje a cíle dat (zdrojovou a cílovou IP adresu) a zdrojový a cílový port, což je však pro dnešní firewally už poměrně nedostatečné – modernější firewally se opírají přinejmenším o informace o stavu spojení, znalost kontrolovaných protokolů a případně prvky IDS.“ – Zdroj: Wikipedie

Mikrotik firewall na RouterOS lze nastavit mnoha způsoby a to za použití hlavního Wiki manuálu případně využít již nakonfigurovaný firewall.

Doporučená zařízení

Mikrotik RB4011igs+5hacq2hnd (bez wifi, čistě jen na firewall)
Mikrotik RBd52g-5hacd2hnd-tc (s wifi, ideální pro domácnost či menší firmu)
Mikrotik RB941-2nd-tc
Mikrotik RB941-2nd
Mikrotik RB951g-2hnd (s wifi, ideální pro domácnost či menší firmu))
Mikrotik RB750gr3 (bez wifi, čistě jen na firewall)
Mikrotik RB4011iGS+5HacQ2HnD-IN (s wifi, ideální pro větší firmu)

Základní firewall

Pro velmi striktní firewall na zařízeních Mikrotik lze použít tato pravidla. Po aplikaci těchto pravidel budou povoleny pouze základní porty pro web a DNS.

Copy to Clipboard

Pokročilý firewall

Pro pokročilejší funkce typu SynFlood, ICMP Flood, Port Scan, Email Spam a další. Přidává především do address listu IP adresy, které jsou po určitou dobu blokovány. Dále urychluje „odbavení“ paketů díky accept established.

Copy to Clipboard

/ip firewall filter add action=add-src-to-address-list address-list=Syn_Flooder address-list-timeout=30m chain=input \ comment="Add Syn Flood IP to the list" connection-limit=30,32 disabled=no protocol=tcp tcp-flags=syn
add action=drop chain=input comment="Drop to syn flood list" disabled=no src-address-list=Syn_Flooder
add action=add-src-to-address-list address-list=Port_Scanner address-list-timeout=1w chain=input comment="Port Scanner Detect"\ disabled=no protocol=tcp psd=21,3s,3,1
add action=drop chain=input comment="Drop to port scan list" disabled=no src-address-list=Port_Scanner
add action=jump chain=input comment="Jump for icmp input flow" disabled=no jump-target=ICMP protocol=icmp
add action=drop chain=input\ comment="Block all access to the winbox - except to support list # DO NOT ENABLE THIS RULE BEFORE ADD YOUR SUBNET IN THE SUPPORT ADDRESS LIST"\ disabled=yes dst-port=8291 protocol=tcp src-address-list=!support
add action=jump chain=forward comment="Jump for icmp forward flow" disabled=no jump-target=ICMP protocol=icmp
add action=drop chain=forward comment="Drop to bogon list" disabled=no dst-address-list=bogons
add action=add-src-to-address-list address-list=spammers address-list-timeout=3h chain=forward comment="Add Spammers to the list for 3 hours"\ connection-limit=30,32 disabled=no dst-port=25,587 limit=30/1m,0 protocol=tcp
add action=drop chain=forward comment="Avoid spammers action" disabled=no dst-port=25,587 protocol=tcp src-address-list=spammers
add action=accept chain=input comment="Accept DNS - UDP" disabled=no port=53 protocol=udp
add action=accept chain=input comment="Accept DNS - TCP" disabled=no port=53 protocol=tcp
add action=accept chain=input comment="Accept to established connections" connection-state=established\ disabled=no
add action=accept chain=input comment="Accept to related connections" connection-state=related disabled=no
add action=accept chain=input comment="Full access to SUPPORT address list" disabled=no src-address-list=support
add action=drop chain=input comment="Drop anything else! # DO NOT ENABLE THIS RULE BEFORE YOU MAKE SURE ABOUT ALL ACCEPT RULES YOU NEED"\ disabled=yes
add action=accept chain=ICMP comment="Echo request - Avoiding Ping Flood" disabled=no icmp-options=8:0 limit=1,5 protocol=icmp
add action=accept chain=ICMP comment="Echo reply" disabled=no icmp-options=0:0 protocol=icmp
add action=accept chain=ICMP comment="Time Exceeded" disabled=no icmp-options=11:0 protocol=icmp
add action=accept chain=ICMP comment="Destination unreachable" disabled=no icmp-options=3:0-1 protocol=icmp
add action=accept chain=ICMP comment=PMTUD disabled=no icmp-options=3:4 protocol=icmp
add action=drop chain=ICMP comment="Drop to the other ICMPs" disabled=no protocol=icmp
add action=jump chain=output comment="Jump for icmp output" disabled=no jump-target=ICMP protocol=icmp

Komentáře

LB 8. 8. 2021 at 16:47 - Reply
Dotaz k článku: poslední pravidlo základního firewallu „add chain=forward action=drop in-interface=ether1“ mi blokuje ssh port, i když jsem jej dle příkladu výše přidal před toto poslední pravidlo. V nat-u přesměrování mám. Nějaký nápad proč to poslední pravidlo blokuje ssh připojení? Když pravdilo vypnu, tak se přes ssh přihlásím, když zapnu, nepřihlásím. Díky.
- Tomáš Kremel 8. 8. 2021 at 20:32 - Reply
  Dobrý den, ano toto je v pořádku. Poslední pravidlo blokuje všechny porty kromě těch výše vypsaných. Zkusil bych přidat toto: add chain=forward action=accept protocol=tcp in-interface=ether1 dst-port=22
david 21. 10. 2021 at 10:12 - Reply
Jak tato pravidla pak reagují na portforwarding, je nutno tedy forwardované porty i v filter rules? díky
- Tomáš Kremel 27. 10. 2021 at 10:50 - Reply
  Dobrý den, porty které chcete forwardovat přidejte do filter rules a upravte jejich pořadí.

Mohlo by vás zajímat: