Настройка нормально закрытого Firewall MikroTik с использованием интерфейс листов, учетом 2WAN и гостевой сети, а так же белого списка.
Интерфейс листы
Собираем в листы порты для WAN и LAN
WAN
/interface list
add name=WAN1
add name=WAN2
add include=WAN1,WAN2 name=WAN
/interface list member
add interface=ether1 list=WAN1
add interface=pppoe-out-isp1 list=WAN1
LAN
/interface list
add name=LAN
add include=WAN1,WAN2 name=WAN
/interface list member
add interface=bridge list=LAN
GUEST
/interface list
add name=GUEST
add include=WAN1,WAN2 name=WAN
/interface list member
add interface=vlan300 list=GUEST
Адрес листы
mgmt
С каких адресов и сетей будет доступно управление MikroTik
/ip/firewall/address-list
add address=whitelist.1side.ru list=mgmt
local
Список локальных сетей которые будут блокироваться при обращении за WAN интерфейс лист.
Запасным и дополнительным вариантом будет создание Blackhole маршрутов до этих сетей.
/ip/firewall/address-list
add address=10.0.0.0/8 list=local
add address=172.16.0.0/12 list=local
add address=192.168.0.0/16 list=local
Input
/ip firewall filter
add action=accept chain=input comment="accept est, rel, untr" connection-state=established,related,untracked
add action=drop chain=input comment="drop invalid" connection-state=invalid
add action=accept chain=input comment="accept icmp" protocol=icmp
add action=accept chain=input comment="accept LAN" in-interface-list=LAN
add action=accept chain=input comment="MGMT WinBox" dst-port=8291 in-interface-list=WAN protocol=tcp src-address-list=mgmt
add action=drop chain=input comment="drop all"
Forward
/ip firewall filter
add action=accept chain=forward comment="accept est, rel, untr" connection-state=established,related,untracked
add action=drop chain=forward comment="drop invalid" connection-state=invalid
add action=drop chain=forward comment="drop WAN local" dst-address-list=local out-interface-list=WAN
add action=accept chain=forward comment="accept LAN to WAN" in-interface-list=LAN out-interface-list=WAN
add action=accept chain=forward comment="accept GUEST to WAN1" in-interface-list=GUEST out-interface-list=WAN1
add action=accept chain=forward comment="accept WAN DSTNATed" connection-nat-state=dstnat connection-state=new in-interface-list=WAN
add action=drop chain=forward comment="drop all"
Output
Для параноидальной защиты настраивается Firewall Output
/ip firewall filter
add action=accept chain=output comment="accept established,related,untracked" connection-state=established,related,untracked
add action=accept chain=output comment="accept ICMP" protocol=icmp
add action=drop chain=output comment="drop all
MAC Server
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN
Neighbor
/ip neighbor discovery-settings
set discover-interface-list=LAN