Jak nastavit Firewall na Mikrotiku
„Firewall je síťové zařízení, které slouží k řízení a zabezpečování síťového provozu mezi sítěmi s různou úrovní důvěryhodnosti a zabezpečení. Zjednodušeně se dá říct, že slouží jako kontrolní bod, který definuje pravidla pro komunikaci mezi sítěmi, které od sebe odděluje.
Tato pravidla historicky vždy zahrnovala identifikaci zdroje a cíle dat (zdrojovou a cílovou IP adresu) a zdrojový a cílový port, což je však pro dnešní firewally už poměrně nedostatečné – modernější firewally se opírají přinejmenším o informace o stavu spojení, znalost kontrolovaných protokolů a případně prvky IDS.“ – Zdroj: Wikipedie
Mikrotik firewall na RouterOS lze nastavit mnoha způsoby a to za použití hlavního Wiki manuálu případně využít již nakonfigurovaný firewall.
Doporučená zařízení
- Mikrotik RB4011igs+5hacq2hnd (bez wifi, čistě jen na firewall)
- Mikrotik RBd52g-5hacd2hnd-tc (s wifi, ideální pro domácnost či menší firmu)
- Mikrotik RB941-2nd-tc
- Mikrotik RB941-2nd
- Mikrotik RB951g-2hnd (s wifi, ideální pro domácnost či menší firmu))
- Mikrotik RB750gr3 (bez wifi, čistě jen na firewall)
- Mikrotik RB4011iGS+5HacQ2HnD-IN (s wifi, ideální pro větší firmu)
Základní firewall
Pro velmi striktní firewall na zařízeních Mikrotik lze použít tato pravidla. Po aplikaci těchto pravidel budou povoleny pouze základní porty pro web a DNS.
Pokročilý firewall
Pro pokročilejší funkce typu SynFlood, ICMP Flood, Port Scan, Email Spam a další. Přidává především do address listu IP adresy, které jsou po určitou dobu blokovány. Dále urychluje „odbavení“ paketů díky accept established.
Komentáře
Mohlo by vás zajímat:
Jak nastavit Firewall na Mikrotiku
"Firewall je síťové zařízení, které slouží k řízení a zabezpečování síťového provozu mezi sítěmi s různou úrovní důvěryhodnosti a zabezpečení. Zjednodušeně se dá ...
Jak přepnout modem do režimu VDSL Bridge (Mikrotik)
Přepnutí VDSL modemu od poskytovatelů internetu do režimu bridge je poměrně věda. Některé modemy sice tuto možnost nabízejí, nicméně ...
Dotaz k článku: poslední pravidlo základního firewallu „add chain=forward action=drop in-interface=ether1“ mi blokuje ssh port, i když jsem jej dle příkladu výše přidal před toto poslední pravidlo. V nat-u přesměrování mám. Nějaký nápad proč to poslední pravidlo blokuje ssh připojení? Když pravdilo vypnu, tak se přes ssh přihlásím, když zapnu, nepřihlásím. Díky.
Dobrý den, ano toto je v pořádku. Poslední pravidlo blokuje všechny porty kromě těch výše vypsaných. Zkusil bych přidat toto: add chain=forward action=accept protocol=tcp in-interface=ether1 dst-port=22
Jak tato pravidla pak reagují na portforwarding, je nutno tedy forwardované porty i v filter rules? díky
Dobrý den, porty které chcete forwardovat přidejte do filter rules a upravte jejich pořadí.