Нормально закрытый Firewall

Настройка нормально закрытого Firewall MikroTik с использованием интерфейс листов, учетом 2WAN и гостевой сети, а так же белого списка.

Профессиональная настройка MikroTik
Без предоплаты
Telegram: @Engineer_MikroTik

Интерфейс листы

Собираем в листы порты для WAN и LAN

WAN

/interface list
add name=WAN1
add name=WAN2
add include=WAN1,WAN2 name=WAN
/interface list member
add interface=ether1 list=WAN1
add interface=pppoe-out-isp1 list=WAN1

LAN

/interface list
add name=LAN
add include=WAN1,WAN2 name=WAN
/interface list member
add interface=bridge list=LAN

GUEST

/interface list
add name=GUEST
add include=WAN1,WAN2 name=WAN
/interface list member
add interface=vlan300 list=GUEST

Адрес листы

mgmt

С каких адресов и сетей будет доступно управление MikroTik

/ip/firewall/address-list
add address=whitelist.1side.ru list=mgmt

local

Список локальных сетей которые будут блокироваться при обращении за WAN интерфейс лист.

Запасным и дополнительным вариантом будет создание Blackhole маршрутов до этих сетей.

/ip/firewall/address-list
add address=10.0.0.0/8 list=local
add address=172.16.0.0/12 list=local
add address=192.168.0.0/16 list=local

Input

/ip firewall filter
add action=accept chain=input comment="accept est, rel, untr" connection-state=established,related,untracked
add action=drop chain=input comment="drop invalid" connection-state=invalid
add action=accept chain=input comment="accept icmp" protocol=icmp
add action=accept chain=input comment="accept LAN" in-interface-list=LAN
add action=accept chain=input comment="MGMT WinBox" dst-port=8291 in-interface-list=WAN protocol=tcp src-address-list=mgmt
add action=drop chain=input comment="drop all"

Forward

/ip firewall filter
add action=accept chain=forward comment="accept est, rel, untr" connection-state=established,related,untracked
add action=drop chain=forward comment="drop invalid" connection-state=invalid
add action=drop chain=forward comment="drop WAN local" dst-address-list=local out-interface-list=WAN
add action=accept chain=forward comment="accept LAN to WAN" in-interface-list=LAN out-interface-list=WAN
add action=accept chain=forward comment="accept GUEST to WAN1" in-interface-list=GUEST out-interface-list=WAN1
add action=accept chain=forward comment="accept WAN DSTNATed" connection-nat-state=dstnat connection-state=new in-interface-list=WAN
add action=drop chain=forward comment="drop all"

Output

Для параноидальной защиты настраивается Firewall Output

/ip firewall filter
add action=accept chain=output comment="accept established,related,untracked" connection-state=established,related,untracked
add action=accept chain=output comment="accept ICMP" protocol=icmp
add action=drop chain=output comment="drop all

MAC Server

/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN

Neighbor

/ip neighbor discovery-settings
set discover-interface-list=LAN
Профессиональная настройка MikroTik
Без предоплаты
Telegram: @Engineer_MikroTik

Настройка MikroTik