Краткое описание: Руководство по настройке строго Firewall в MikroTik, корпоративного уровня. Базовая защита от DDOS атаки.

Нужна настройка MikroTik Firewall?

Настройка сервисов на маршрутизаторах MikroTik: подключение интернета, DHCP, brige, VLAN, WiFi, Capsman, VPN, IpSec, PPTP, L2TP, Mangle, NAT, проброс портов, маршрутизация(routing), удаленное подключение и объединение офисов.

    Настройка MikroTik Firewall

    Для корпоративного сегмента настройки Firewall-а является обязательной мерой, для обеспечения соответствующего уровня сетевой безопасности. Однако и в частных системах  встречаются случаи, когда не согласованные попытки внешнего подключение могут привести в состояние отказа сетевого оборудования.

    ВНИМАНИЕ! Неверное пользование инструкцией может произвести к потере связи с роутером MikroTik!

    Перед настройкой рекомендуется сделать резервную копию.

    Будет описана ситуация, когда любой пакет не получивший предварительного разрешения будет отвергнут. Эта конфигурация также положительно отражается на состоянии загрузки CPU.

    Правила работают сверху вниз, приоритетным считается правило c меньшим номером.

    Настройка находится в IP->Firewall

    Разрешение установленных и связанных подключений для входящего и проходящего трафика

    Настройка Mikrotik winbox, правило firewall accept forward

    /ip firewall filter add action=accept chain=forward connection-state=established,related

    Настройка Mikrotik winbox, правило firewall accept input

    /ip firewall filter add action=accept chain=in connection-state=established,related

    Доверительные правила для локальной сети

    Настройка Firewall в MikroTik, доверие локальной сети

    Настройка Firewall в MikroTik, разрешения для LAN

    /ip firewall filter
    add action=accept chain=input in-interface=bridge1
    add action=accept chain=forward in-interface=bridge1

    Разрешить ICMP запросы с WAN интерфейсов

    Настройка Firewall в MikroTik, разрешить PING

    /ip firewall filter add action=accept chain=in protocol=icmp in-interface=pppoe-out1

    Удалить все пакеты в состоянии invalid

    Настройка Mikrotik winbox, правило firewall drop forward invalid

    Настройка Mikrotik winbox, правило firewall drop

    /ip firewall filter add action=drop chain=forward connection-state=invalid

    Настройка Mikrotik winbox, правило firewall drop input invalid

    Настройка Mikrotik winbox, правило firewall drop

    /ip firewall filter add action=drop chain=input connection-state=invalid

    Удалить все остальные пакеты

    Настройка Mikrotik winbox, правило firewall drop input

    Настройка Mikrotik winbox, правило firewall drop

    /ip firewall filter add action=drop chain=forward

    Настройка Mikrotik winbox, правило firewall drop forward

    Настройка Mikrotik winbox, правило firewall drop

    /ip firewall filter add action=drop chain=in

    Правила настройки Firewall в роутере MikroTik

    Практический пример. Mikrotik hap Lite имеет активные службы: NAT(scrnat и dstnat), DHCP, WiFi, Firewall и VPN туннель типа Ipsec с аналогичной моделью. Правила Firewall-а были приняты в работу после инцидентов со 100% загрузкой CPU(роутер тормозит и зависает). Счетчики пакетов после 11 дней работы выглядят следующим образом:

    Настройка Mikrotik winbox, пример Firewall

    [adminX@Gateway-2] > /ip firewall filter print 
    Flags: X - disabled, I - invalid, D - dynamic 
    0 D ;;; special dummy rule to show fasttrack counters
    chain=forward action=passthrough
    
    1 chain=forward action=fasttrack-connection connection-state=established,related log=no log-prefix=""
    
    2 ;;; IPSec
    chain=forward action=accept log=no log-prefix="" ipsec-policy=in,ipsec
    
    3 chain=forward action=accept log=no log-prefix="" ipsec-policy=out,ipsec
    
    4 ;;; Base-Exchange-Rules
    chain=input action=accept connection-state=established log=no log-prefix=""
    
    5 chain=forward action=accept connection-state=established log=no log-prefix=""
    
    6 chain=forward action=accept src-address=192.168.3.0/24 log=no log-prefix=""
    
    7 chain=forward action=accept connection-state=related log=no log-prefix=""
    
    8 chain=input action=accept connection-state=related log=no log-prefix=""
    
    9 ;;; Forward-Access
    chain=forward action=accept protocol=tcp in-interface=pppoe-out dst-port=8000 log=no log-prefix=""
    
    10 ;;; Remote-Access
    chain=input action=accept src-address-list=Remote-Access log=no log-prefix=""
    
    11 ;;; ICMP
    chain=input action=accept protocol=icmp log=no log-prefix=""
    
    12 ;;; Drop-Invalid
    chain=input action=drop connection-state=invalid log=no log-prefix=""
    
    13 chain=forward action=drop connection-state=invalid log=no log-prefix=""
    
    14 ;;; Drop-Other
    chain=input action=drop in-interface=pppoe-out log=no log-prefix=""
    
    15 chain=forward action=drop log=no log-prefix=""

    Remote-Access – список ip-адресов, с которых разрешено внешнее подключение.

    Как защитить MikroTik от DDOS атаки

    В первой части статьи, описанные правила Firewall имеют определенно строгий вид и если их описать словами то:

    Разрешены(Accept):

    • все установленные ранее подключения(было разрешено ранее, значит и сейчас будет разрешено);
    • запросы с локальной сети, полное доверие;
    • запросы на команду PING с внешней сети, имеет диагностический характер.

    Запрещены(Drop):

    • пакеты в состоянии invalid;
    • все другие пакеты, которые не подошли ни к одному из правил выше.

    Как правило DDOS атаки совершаются через ICMP запросы и этой единственный возможный запрос, на который ответит роутер MikroTik по цепочке Input. Все остальные пакеты он будет напросто отклонять.

    Дополнительная мера по защите от атаки – Блокировка сканера портов в MikroTik

    В качестве метода по борьбе с DDoS атакой будет рассмотрен сценарий, в котором будет применяться фильтр на количество новых подключений в цепочках Input и Forward.

    Настройка Mikrotik winbox, пример защиты от DDoS

    /ip firewall filter
    add action=jump chain=forward connection-state=new in-interface=pppoe-out jump-target=Pre-DDoS
    add action=jump chain=input connection-state=new in-interface=pppoe-out jump-target=Pre-DDoS
    add action=drop chain=forward connection-state=new src-address-list=BAN-DDoS
    add action=drop chain=input connection-state=new src-address-list=BAN-DDoS
    add action=return chain=Pre-DDoS dst-limit=32,32,src-address/10s
    add action=add-src-to-address-list address-list=BAN-DDoS address-list-timeout=14d chain=Pre-DDoS

    Нет подключения к MikroTik, роутер не отвечает

    Данную ситуацию может исправить только сброс через кнопку Reset. Подробная инструкция описана в статье Сброс настроек в MikroTik, заводские настройки через Reset.

    Есть вопросы или предложения по настройке Firewall в MikroTik? Активно предлагай свой вариант настройки! Оставить комментарий