Настройка Firewall для роутера Mikrotik
В последнее время отчётливо можно проследить тенденцию к покупке девайсов повышенной сложности в использовании. Ярким примером тому является серия роутеров от Mikrotik, которыми стали пользоваться даже самые незнающие потребители. Конечно, после покупки и первого подключения устройство будет функционировать, но без должной базовой настройки microtik firewall и NAT ваша сеть будет как никогда уязвимой для самых различных злоумышленников извне.
Для полноценной и свободной работы или сёрфинга в интернете достаточно небольшого набора правил в firewall mikrotik настройках, а также в NAT, от этого зависит безопасность ваших данных.
Но для начала стоит в общих чертах понять суть правил файрвола:
- Chain – цепь, получаемая при вводе своего названия
- Scr. Address – адрес источника пакета
- Dst. Address – адрес назначения пакета
- Protocol – протокол подключения
- Scr. Port – порт, со стороны которого поступил пакет.
- Dst. Port – порт, на который поступил пакет
- Any Port – абсолютно любой порт
- P2P – протокол, к которому относится пакет
- In Interface – Интерфейс, после передачи пакета
- Out Interface – Интерфейс, в который передаётся пакет
- Packet Mark – Пакет определённой маркировки
- Connection Mark – – Пакет определённой маркировки
- Routing Mark – Пакет определённой маркировки
- Connection Type – Пакет определённого вида соединения
Firewall команды
Итак, разобравшись в общих чертах работы файрвола, мы можем приступать к непосредственному добавлению правил в него. Стоит сразу отметить, что данный свод правил является базовым и наиболее сбалансированным, без лишних деталей. Иначе говоря, данные настройки подойдут любому обычному пользователю интернета, продвинутые же пользователю не обратят внимания на данную статью в силу ненадобности.
1.Первым делом мы разрешим пинги:
add chain=input action=accept protocol=icmp
add chain=forward action=accept protocol=icmp
2.Затем дадим доступ установленным подключениям:
add chain=input action=accept connection-state=established
add chain=forward action=accept connection-state=established
3.Разрешим все подключения локальной сети:
add chain=input action=accept src-address=192.168.1.0/24 in-interface=!ether2
4.Также поступим и с связанными подключениями:
add chain=input action=accept connection-state=related
add chain=forward action=accept connection-state=related
5.Настраиваем подключения для торрента:
add chain=forward action=accept protocol=tcp in-interface=ether2 dst-port=45000
6.Отключаем доступ к неработающим подключениям:
add chain=input action=drop connection-state=invalid
add chain=forward action=drop connection-state=invalid
7.Вдобавок отсоединяемся от всех прочих входящих подключений
add chain=input action=drop in-interface=ether2
8.Подключаем доступ из локальной сети в интернет:
add chain=forward action=accept in-interface=!ether2 out-interface=ether2
9.На всякий случай отсоединяем доступ ко всем остальным подключениям, но это не обязательно:
add chain=forward action=drop
Итак, теперь осталось только настроить NAT, по умолчанию он должен быть включён.
Всего два правило NAT, которые обеспечат удобную работу с торрентом и сбалансируют локальную сеть:
add chain=srcnat action=masquerade out-interface=ether2
add chain=dstnat action=dst-nat to-addresses=192.168.1.50 to-ports=45000 protocol=tcp in-interface=ether2 dst-port=45000
По итогу в вкладках фильтра правил и NAT всё должно выглядеть соответственно скриншотам снизу:
Если же вы хотите узнать всё про Mikrotik, настройки firewall и NAT, можете ознакомиться с информацией, предоставленной на разных ресурсах, и уже исходя из усвоенного вы сможете самостоятельно настроить свой файрвол под себя.
Быстрого Вам интернета!