Базовая настройка firewall на Mikrotik

Вас приятно слушать грамотная речь, полезные уроки, не останавливайтесь, продолжайте.

isbn

Спасибо огромное за хороший гайд без воды и болтовни.

King_Hawk

Супер! То что нужно! Спасибо за уроки. Хотелось бы увидеть видео по port-knocking и маркировку пакетов, если есть такая возможность.

srh_btk

Тоже доволен вашей работе. Доп инфа по сетям приносить удовлетворение. Сижу дома настраиваю микротик. Увидел у других людей 30 правил firewall и понял что есть куда стремиться. Между прочим подвергался атакам от ботнетов при ненастроенном fierwall на микротике. 😆😆😆

kot

Лучший! Вся нужная информация в таком коротком ролике, талант! :)

МаратСагитов-хщ

Провожу индивидуальные консультации по компьютерным сетям и настройке MikroTik . Пишите мне в ВК

DaveRylenkov

Базовая настройка какого-нибудь домашнего микротика у меня делается так (аплинк в ether1, dhcp):
/system reset-configuration no-defaults=yes skip-backup=yes
/interface bridge
add name=bridge-local
set bridge-local auto-mac=no admin-mac=[/interface ethernet get ether2 mac-address ]
/interface bridge port
add bridge=bridge-local interface=ether2
add bridge=bridge-local interface=ether3
add bridge=bridge-local interface=ether4
add bridge=bridge-local interface=ether5
add bridge=bridge-local interface=wlan1
/interface wireless security-profiles set default \
authentication-types=wpa-psk, wpa2-psk mode=dynamic-keys \
unicast-ciphers=aes-ccm group-ciphers=aes-ccm \
wpa-pre-shared-key=<KEY> \
wpa2-pre-shared-key=<KEY>
/interface wireless set wlan1 mode=ap-bridge band=2ghz-b/g/n \
frequency=auto ssid=<SSID> \
country=russia disabled=no
/ip address add address=192.168.88.1/24 interface=bridge-local
/ip dhcp-client add interface=ether1 add-default-route=yes \
use-peer-dns=yes use-peer-ntp=yes disabled=no
/ip pool add name=dhcp
/ip dhcp-server network add address=192.168.88.0/24 netmask=24 \
dns-server=192.168.88.1 gateway=192.168.88.1 ntp-server=192.168.88.1
/ip dhcp-server add interface=bridge-local address-pool=dhcp \
name=dhcp disabled=no
/ip dns set allow-remote-requests=yes
/ip firewall nat add chain=srcnat out-interface=!bridge-local action=masquerade
/ip neighbor discovery set [/ip neighbor discovery find ] discover=no
/ip service disable api, api-ssl, ftp, telnet
/ip upnp interfaces
add interface=ether1 type=external
add interface=bridge-local type=internal
/ip upnp set enabled=yes
/system clock set time-zone-name=Etc/GMT-3
/system ntp client set primary-ntp=<NTP_SERVER_IP> enabled=yes
/system routerboard settings set silent-boot=yes
/system identity set name="<IDENTIFY>"
/user set admin password=<ADMIN_PASSWD>
/ip firewall filter
add chain=input connection-state=established action=accept
add chain=input connection-state=related action=accept
add chain=input in-interface=bridge-local action=accept
add chain=input connection-state=new protocol=tcp dst-port=22, 8291 action=accept
add chain=input protocol=icmp action=accept
add chain=input action=drop

FogerSP

Расскажи, пожалуйста, про варианты настройки firewall NAT

korobelnikovguarim

Здравствуйте! Насчёт dstnat, как сделать так чтобы из внутреннего локального сегмента при обращение на свой внешний адрес и порт. Можно было увидеть видеорегистратор. Я настроил как вы показали. Он работает с внешки. Но с внутренней сети не работает. Приложение AyEee 3.0

freem

Для более гибкой настройки, если захотите поменять физический порт подключения например с 1 на 6 или подключили usb модем, лучше использовать interface list. То есть добавляете подключение в interface list (например WAN) и правила будут работать сразу, а не менять во всех порт.

nikopolv

Доступно, понятно, без лишнего. Спасибо за гайд!

Правда я до конца не понял, как и какое правило прописать, чтобы комп подключенный у меня по 3му локальному порту (для третьего порта у меня сделан отдельный бридж - 8я подсеть) не мог никаким образом зайти на интерфейс роутера и что-то там менять, ни через ip ни через winbox.

Вячеслав_Александрович

А не проще в первом созданом правиле указать "new" в connection state ? будут дропаться только новые пакеты из "инета", т.е. ping из локалки должен продолжать ходить.

alexeyzakharov

Спасибо, а вы случаенно курсы не ведете?

TheShotw

может снимешь видосик объединение 2х провайдеров

korobelnikovguarim

В целом все отлично. У меня при правиле drop/input валится пинг из терминала роутера, такое же при форварде не портит пинг на клиентских машинах. заработало только тогда, когда поиставил в стейт new у правила drop/input

ЕвгенийС-еп

Thanks for video! Could you explain 2 last rules, what do mean Connection State Invalid?

ВладимирГригорьев-гд

Человек объсняет-это благое дэло! Люди добрые, объясните мне на человечоскоя языке; Я сижу за НАТом, и стоит добреньий Микротик роутербоард на выходе в инет. На локальке куча сервероа которые доступны из внешного мира на счет порт-форвардинга на роутере(Микротик) Зачем мне куча запрещающие правила? Стоит только Фаил2Бан образная правила которая при не удачном авторизации удлиняет время повторные попытки по течение несколько ч.. Все встроенные сервизы роутера отключены, только из локальной сети можна подключится ВинБоксом. Чем могут нам вредить? И каким образом? Зачем мне запрещающие правила для входящего трафика? (А на самом дэле куча запрещающих правил для исходящего трафика. Это мне понятно)

zohrabmi

Жесть, все понятно объяснил, а вот мой препод не справился.

KirushaLS

приветствую! подскажите, этих правил достаточно для домашнего использования данного роутера ? без фанатизма, из вне мне не нужно на него заходить и проверять и тп вещи....

kutycr

вроде все интересно, но слишком поверхностно, это скорее для тех кто перешел с бытового длинка на микротик и нужно настроить "как было до", 99% параметров не упоминается и вся гибкость микротика сходит на нет

John___Doe