Configurarea filtrării de trafic pe mikrotik

Înainte de a configura firewall-ul

În această și în următoarea parte a articolului se utilizează următoarea topologie de rețea:

  • WAN - 172.30.10.26/24, gateway implicit 172.30.10.1
  • DMZ - 10.10.10.1./24
  • LAN - 192.168.88.1/24
  • Winbox - port 8291 TCP;
  • Portul Ssh - TCP 22;
  • www - portul TCP 80;

Pasul 1. Dezactivarea serviciilor inutile

Deschideți meniul IP / Servicii și utilizați butonul Dezactivare pentru a dezactiva serviciile inutile.







Dacă utilizați pentru a lucra cu protocolul MikroTik ssh este o idee bună pentru a schimba portul implicit la orice alt, de exemplu 65522. Pentru a face acest lucru, faceți dublu clic pe linie cu ssh, iar în fereastra schimba portul:

Configurarea filtrării de trafic pe mikrotik

Faceți clic pe OK pentru a confirma selecția.

De asemenea, puteți schimba porturile Winbox și www. Cu toate acestea, nu am văzut portul 8291 (winbox) atacat prin selectarea unei parole.

Desigur, este mai bine să dezactivați interfața Web, dar dacă din anumite motive nu o puteți utiliza pentru a configura Winbox, va fi o soluție bună pentru a permite accesul la interfața web a router-ului numai din rețeaua locală.

Pentru a face acest lucru, faceți dublu clic pe linia cu www și umpleți disponibilul de la:

Apăsați butonul OK pentru a confirma selecția.

Pasul 2: Dezactivați căutarea vecinului și serverului mac pe interfețe externe

Accesați meniul ip / vecinii, accesați fila Interfață Discovery și dezactivați totul, cu excepția interfeței LAN, făcând clic pe butonul Dezactivați.

Configurarea filtrării de trafic pe mikrotik

Apoi mergeți la meniul Tools / MAC Server și adăugați interfața LAN la interfațele Telnet Interfaces și WinBox Interfaces, ștergeți dacă există alte interfețe și dezactivați interfața "* all"

Configurarea filtrării de trafic pe mikrotik






Acest lucru nu vă va permite să vă conectați la router din exterior, utilizând MAC-Telnet

Dacă cineva crede că aceasta este o măsură de securitate inutilă, acesta este ceea ce unul dintre routerele instalate vede pe porturile WAN.

Configurarea filtrării de trafic pe mikrotik

În același timp, doi dintre ei au reușit să se conecteze la mac-telnet și să obțină acces la management.

Pasul 3. Utilizator și parolă

Acum trebuie să înlocuiți utilizatorul implicit și să-i setați parola.

Accesați meniul Sistem / Utilizatori.

Configurarea filtrării de trafic pe mikrotik

Creați un utilizator nou cu drepturi de administrator.

Configurarea filtrării de trafic pe mikrotik

Apoi, închideți programul Winbox, porniți-l din nou și mergeți sub noul utilizator, deschideți meniul System / Users și dezactivați contul de administrator.

Configurarea filtrării de trafic pe mikrotik

Această operație pregătitoare poate fi considerată completă. Acum mergeți la configurația firewall-ului.

Configurarea paravanului de protecție

  1. Traficul către ruter se încadrează în lanțul intrărilor de firewall;
  2. Traficul generat de router intră în lanțul de ieșire al firewall-ului;
  3. Traficul care trece prin router intră în lanțul înainte;
  4. Există patru stări de conectare: noi, stabilite, asociate, nevalide.

Adică, pe baza stărilor și lanțurilor conexiunilor, regulile generale pentru protejarea routerului pot fi formulate ca:

  1. Lucrăm numai cu lanțul de intrări;
  2. Ne lipsește conexiunile cu condiții stabilite și conexe, așa cum sa stabilit deja;
  3. Ne lipsește protocolul ICMP;
  4. Considerăm că atât WAN, cât și DMZ sunt rețele care nu sunt de încredere;
  5. Permitem ca un anumit trafic să treacă la router. Restul traficului este blocat.

Acum, să definim traficul permis din interfețe neîncredințate. Deci, permitem:

  1. Portul TCP 8291 - Winbox, telecomandă din exterior;
  2. 65522 ssh pe portul modificat;
  3. Să presupunem că vom configura mai târziu serverul VPN peste PPTP și vom permite portul 1723 peste TCP.






Trimiteți-le prietenilor: