Базовый firewall MikroTik (шаблон правил, без CLI)
Цель: Создать безопасный шаблон настроек межсетевого экрана, который разрешает нужный трафик (интернет, управление) и блокирует всё остальное, защищая роутер и локальную сеть.
Основной принцип: Правила обрабатываются по порядку сверху вниз. Как только срабатывает правило, последующие не проверяются. Поэтому важен порядок.
Мы настроим правила в цепях (chains):
input — трафик, который приходит на сам роутер (на его IP-адреса).
forward — трафик, который проходит через роутер из одной сети в другую (например, из LAN в интернет и обратно).
output — трафик, который исходит от самого роутера (нас мало интересует).
Шаг 1: Подготовка. Создаем Address List для доверенных сетей
Это удобно, чтобы не прописывать подсети в каждом правиле. Мы создадим список "доверенных" адресов (наша локальная сеть).
Зайдите в IP -> Firewall и перейдите на вкладку Address Lists.
Нажмите кнопку Add (+).
В поле Name введите: trusted_networks
В поле Address введите адрес вашей локальной сети: 192.168.100.0/24 (замените на свою подсеть).
Нажмите OK.
Теперь мы можем использовать этот список в правилах, обращаясь к нему по имени.
Шаг 2: Настройка правил в цепи INPUT (защита самого роутера)
Эти правила определяют, кто может подключаться к роутеру для управления.
Перейдите на вкладку Filter Rules.
Добавляем правила по порядку:
Правило 1: Разрешаем служебные соединения (установленные и связанные)
Нажмите Add (+).
Вкладка General:
Chain: input
Connection State: Отметьте галочки established и related.
established — это пакеты уже существующего соединения.
related — это пакеты, связанные с существующим соединением (например, данные FTP-передачи).
Вкладка Action:
Action: accept OK.
Это правило нужно поднять в самый верх списка (используйте кнопки со стрелками вверх/вниз). Оно разрешает ответы на запросы, которые инициировали мы сами.
Правило 2: Разрешаем управление с доверенной сети
Нажмите Add (+).
Вкладка General:
Chain: input
Protocol: tcp (так как WinBox, WebFig, SSH используют TCP).
Dst. Port: 8291, 22, 80, 443
(порты для WinBox, SSH, Web-интерфейса по HTTP/HTTPS).
Src. Address List: выберите созданный нами список trusted_networks.
Вкладка Action:
Action: accept OK.
Это правило разрешает компьютерам из вашей локальной сети подключаться к роутеру.
Правило 3: Запрещаем всё остальное (ложимся в Drop)
Нажмите Add (+).
Вкладка General:
Chain: input
Вкладка Action:
Action: drop OK.
Это правило должно быть последним в цепи input. Оно блокирует все попытки подключения к роутеру, которые не подошли под два предыдущих правила (например, из интернета).
Итог цепи INPUT: established/related -> разрешить управление с LAN -> запретить всё.
Шаг 3: Настройка правил в цепи FORWARD (защита трафика между сетями)
Эти правила управляют тем, как компьютеры из LAN ходят в интернет и как обрабатываются входящие соединения извне.
Убедитесь, что вы все еще на вкладке Filter Rules.
Правило 1: Разрешаем служебные соединения (установленные и связанные)
Нажмите Add (+).
Вкладка General:
Chain: forward
Connection State: established, related
Вкладка Action:
Action: accept
OK. Поднимите правило в самый верх цепи forward. Оно разрешает ответы из интернета на запросы из локальной сети.
Правило 2: Разрешаем исходящий трафик из доверенной сети в интернет
Нажмите Add (+).
Вкладка General:
Chain: forward
Src. Address List: trusted_networks
Out. Interface: выберите ваш WAN-интерфейс (например, wan).
Вкладка Action:
Action: accept
OK. Это правило разрешает компьютерам из локальной сети выходить в интернет.
Правило 3: Запрещаем всё остальное (ложимся в Drop)
Нажмите Add (+).
Вкладка General:
Chain: forward
Вкладка Action:
Action: drop
OK. Это правило должно быть последним в цепи forward. Оно блокирует любую пересылку пакетов, не подошедшую под правила выше. Например, оно блокирует все входящие соединения из интернета, которые не были запрошены изнутри — это основа безопасности.
Итог цепи FORWARD: established/related -> разрешить выход в интернет из LAN -> запретить всё.
Шаг 4: Дополнительно. Защита от сканирования и флуда (опционально, но рекомендуется)
Добавим правило, которое защитит роутер от попыток сканирования портов.
В цепи INPUT, после правила established/related и до правила accept на порты управления, добавьте новое правило:
Нажмите Add (+).
Вкладка General:
Chain: input
Protocol: tcp
Connection State: Отметьте new (новые соединения).
Вкладка Extra:
Поставьте галочку Limit.
В поле Limit Count укажите 5.
В поле Limit Time укажите 30s.
Вкладка Action:
Action: add src to address list
Address List: создайте новую, например, port_scaners.
Timeout: 1d (адрес нарушителя добавится в черный список на 1 день).
Теперь создадим правило, которое заблокирует адреса из этого черного списка. Добавьте его сразу после предыдущего:
Нажмите Add +).
Вкладка General:
Chain: input
Src. Address List: port_scaners
Вкладка Action:
Action: drop
Смысл: Если кто-то пытается открыть более 5 новых TCP-соединений с роутером за 30 секунд, его IP-адрес заносится в черный список и блокируется на сутки.
Чек-лист итоговых правил Firewall
Цепь INPUT (порядок важен!):
chain=input, connection-state=established,related -> action=accept
chain=input, protocol=tcp, connection-state=new, limit=5/30s ->
action=add src to address list=port_scaners, timeout=1d
chain=input, src-address-list=port_scaners -> action=drop
chain=input, protocol=tcp, dst-port=8291,22,80,443,
src-address-list=trusted_networks -> action=accept
chain=input -> action=drop (все, что не подошло, блокируем)
Цепь FORWARD (порядок важен!):
chain=forward, connection-state=established,related -> action=accept
chain=forward, src-address-list=trusted_networks,
out-interface=wan -> action=accept
chain=forward -> action=drop (все, что не подошло, блокируем)
Важно: После настройки обязательно проверьте, что у вас есть доступ к интернету с компьютера в LAN и что вы можете подключиться к роутеру через WinBox. Если доступ пропал, проверьте порядок правил и адреса в списке trusted_networks.