Инструкции » IP » Firewall » Filter Rules

Нормально закрытый Firewall

На чтение 3 мин Опубликовано

Настройка нормально закрытого Firewall MikroTik с использованием интерфейс листов, учетом 2WAN и гостевой сети, а так же белого списка.

Профессиональная настройка MikroTik
Без предоплаты
Telegram: @Engineer_MikroTik
Содержание
  1. Интерфейс листы
  2. WAN
  3. LAN
  4. GUEST
  5. Адрес листы
  6. mgmt
  7. local
  8. Input
  9. Forward
  10. Output
  11. MAC Server
  12. Neighbor

Интерфейс листы

Собираем в листы порты для WAN и LAN

WAN

/interface list
add name=WAN1
add name=WAN2
add include=WAN1,WAN2 name=WAN
/interface list member
add interface=ether1 list=WAN1
add interface=pppoe-out-isp1 list=WAN1

LAN

/interface list
add name=LAN
add include=WAN1,WAN2 name=WAN
/interface list member
add interface=bridge list=LAN

GUEST

/interface list
add name=GUEST
add include=WAN1,WAN2 name=WAN
/interface list member
add interface=vlan300 list=GUEST

Адрес листы

mgmt

С каких адресов и сетей будет доступно управление MikroTik

/ip/firewall/address-list
add address=whitelist.1side.ru list=mgmt

local

Список локальных сетей которые будут блокироваться при обращении за WAN интерфейс лист.

Запасным и дополнительным вариантом будет создание Blackhole маршрутов до этих сетей.

/ip/firewall/address-list
add address=10.0.0.0/8 list=local
add address=172.16.0.0/12 list=local
add address=192.168.0.0/16 list=local

Input

/ip firewall filter
add action=accept chain=input comment="accept est, rel, untr" connection-state=established,related,untracked
add action=drop chain=input comment="drop invalid" connection-state=invalid
add action=accept chain=input comment="accept icmp" protocol=icmp
add action=accept chain=input comment="accept LAN" in-interface-list=LAN
add action=accept chain=input comment="MGMT WinBox" dst-port=8291 in-interface-list=WAN protocol=tcp src-address-list=mgmt
add action=drop chain=input comment="drop all"

Forward

/ip firewall filter
add action=accept chain=forward comment="accept est, rel, untr" connection-state=established,related,untracked
add action=drop chain=forward comment="drop invalid" connection-state=invalid
add action=drop chain=forward comment="drop WAN local" dst-address-list=local out-interface-list=WAN
add action=accept chain=forward comment="accept LAN to WAN" in-interface-list=LAN out-interface-list=WAN
add action=accept chain=forward comment="accept GUEST to WAN1" in-interface-list=GUEST out-interface-list=WAN1
add action=accept chain=forward comment="accept WAN DSTNATed" connection-nat-state=dstnat connection-state=new in-interface-list=WAN
add action=drop chain=forward comment="drop all"

Output

Для параноидальной защиты настраивается Firewall Output

/ip firewall filter
add action=accept chain=output comment="accept established,related,untracked" connection-state=established,related,untracked
add action=accept chain=output comment="accept ICMP" protocol=icmp
add action=drop chain=output comment="drop all

MAC Server

/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN

Neighbor

/ip neighbor discovery-settings
set discover-interface-list=LAN
Профессиональная настройка MikroTik
Без предоплаты
Telegram: @Engineer_MikroTik

Настройка MikroTik
Этот веб-сайт использует файлы cookie для улучшения пользовательского опыта. Продолжая использовать сайт, вы соглашаетесь на использование файлов cookie.