Базовая Настройка Firewall в Mikrotik • Шаг 2 настройка интерфейсов

F1
Полезные ресурс для сисадмина и пользователя : 💫 💫 💫 💫 💫 читайте на сайте

У каждой очереди, кроме приоритета 8, я указал гарантированную полосу Limit AT и не гарантированную максимальную Max Limit: Так как настроек много и я особого смысла делать их руками не вижу, тем более что эти настройки практически универсальные, то это можно сказать такой начальный шаблон настроек. Переименовываем сетевые интерфейсы для удобства восприятия их функциональной привязки, в соответствие с вышеприведённой схемой.

Базовая Настройка Firewall в Mikrotik

Существует три метода позволяющие вам задать IP-фильтрацию, позволяющей вам ограничить доступ к службам роутера Mikrotik, только с определенных IP-адресов.

Как видим у нас есть три потенциальные точки проникновения на ваш роутер микротик. Как я и писал выше, зайдя на устройство, в разделе Log, я увидел вот такой подбор паролей по разным службам:

Обязательно создайте другого пользователя с новым логином и удалите учетную запись Admin, это мы делали при начальных настройках, шанс того. что вас взломают уменьшится в десятки раз

Самое главное правило любого сервиса, гласит, что работать должно минимально возможное количество служб, все остальное должно быть отключено, по возможности ограничьте доступ к службам, только необходимыми адресами, для кого он предназначается. Перефразировав, чем меньше фронт атаки, тем проще защищаться

Проверка порта на MikroTik RB4011iGS

Как настроить MikroTik - Начальная настройка
Хорошо, но для одиночного устройства не нужно — отключаем привязку беспроводного интерфейса к системе CAP:
Коротченков Дмитрий Николаевич, специалист по вопросам мобильной связи и интернета
Мнение эксперта
Коротченков Дмитрий Николаевич, специалист по вопросам мобильной связи и интернета
Со всеми вопросами смело обращайтесь ко мне, я помогу.
Задать вопрос эксперту
Кстати, в 7 версии RouterOS, в этом случае второй маршрут окажется активным, так как автоматически включается ECMP , но этот протокол в этой статье я не рассматриваю. Если возникли проблемы, смело обращайтесь ко мне!

Policy-based Routing (PBR) на MikroTik — Sysadminium

  • Во первых, вы можете отключить SSH и Telnet, оставив только веб-интерфейс, в котором есть тот же терминал. Попасть в него можно, выбрав на роутере Mikrotik соответствующую кнопку в правом, верхнем углу. Как видите тут есть все команды.

Фильтрация и отключение служб через Services

Как я и писал выше, все что вы не используете вы должны отключить, в моем случае, мне для управления моим MikroTik RB4011iGS достаточно веб интерфейса, поэтому я отключу: ftp, ssh, telnet. Для этого слева есть столбец с кнопкой «D«.

В итоге на против нужной вам службы появился крестик и сама надпись стала прозрачной.

Пробуем проверить доступность порта из Германии, как видим 22 порт SSH закрыт, это хорошо, значит его больше не будут брутфорсить.

Проверка порта на MikroTik RB4011iGS

В итоге у меня получилось вот так, пробуем проверить с другого IP доступ до служб.

Самое интересное, что порт при SSH при проверке с внешнего сервера показывал статус «Open», что слегка обескураживало

Пробовал настроить фильтрацию служб и через WinBox, но результат тот же

Если нужно обеспечить как пропуск трафика извне, так и вывод такового наружу через определённый внешний IP-адрес, то к правилу DNAT добавим ещё и SNAT (Source NAT) — например, для всего сетевого узла в целом: Выключаем сервисы мониторинга Ping и управления Telnet, Winbox , принимающие подключения с указанием MAC-адреса, если IP-адрес интерфейсу не выдан. Ну и после добавления в VRF ether4 во вторую таблицу маршрутизации, у наc connected маршрут от ether4 ушел в свою таблицу маршрутизации.

MikroTik – базовая настройка.

Эта базовая настройка используется в некоторых других описаниях MikroTik на сайте PC360. Чтоб каждый раз не повторять описание, решено вынести его на отдельную страницу.

Альтернативный вариант – использовать настройки по умолчанию (Default setings).

Еще один альтернативный вариант – быстрая настрйка из меню Quick Set – в конце страницы под спойлером.

Освоить MikroTik Вы можете с помощью онлайн-куса «Настройка оборудования MikroTik». Курс содержит все темы, которые изучаются на официальном курсе MTCNA. Автор курса – официальный тренер MikroTik. Подходит и тем, кто уже давно работает с микротиками, и тем, кто еще их не держал в руках. В курс входит 162 видеоурока, 45 лабораторных работ, вопросы для самопроверки и конспект.

Базовая Настройка Firewall в Mikrotik • Шаг 2 настройка интерфейсов

Настройки протестированы на двух доступных моделях MikroTik: Rb750Gr3 и 951Ui 2HnD и так же подойдут для многих других моделей из-за единой операционной системы всех роутеров MikroTik – RouterOS.

Настройка выполняется из ПК с ОС Windows10. Роутер и ПК соединены прямым патч-кордом. ПК подключен в пятый порт роутера. Настройка IP-адреса сетевого адаптера ПК автоматическая (по DHCP). Специально вводить стандартный для микротиков IP-адрес 192.168.88.xxx не требуется.

Все настройки выполняются через спец. ПО для Windows от разработчика — WinBox. Скачать его можно с официального сайта.

Выполнение каждой настройки представлено в графическом интерфейсе и в виде текстовой команды для терминала.

Чтоб ввести текстовую команду, в боковом меню RouterOS микротика нужно выбрать New Terminal и в открывшейся командной строке ввести команду.

1.Подключение через WinBox.

4.Вводим логин-пароль (базовый логин admin, пароля нет).

2.Из выпадающего меню выбираем пунк Reset Configuration.

3.В открывшемся окне отмечаем галочкой No Dafault Configuration (для сброса дефолтной конфигурации).

4.Нажимаем кнопку Reset Configuration.

. Удаляя базовые настройки, удалятся параметры безопасности. Если роутер будет работать шлюзом в интернет необходимо настроить интерфейсы доступа, учетные записи, фильтры firewall и прочие настройки безопасности.

3.Создание моста (bridge).

Мост нужен для организации коммутатора локальной сети.

3.В окне New Interface нажимаем ОК (в настройках моста ничего не меняем).

3.В открывшемся окне New Bridge Port указываем интерфейс Interface: ether2

Коротченков Дмитрий Николаевич, специалист по вопросам мобильной связи и интернета
Мнение эксперта
Коротченков Дмитрий Николаевич, специалист по вопросам мобильной связи и интернета
Со всеми вопросами смело обращайтесь ко мне, я помогу.
Задать вопрос эксперту
Для этого копируем шаблон в буфер обмена и открываем Files через WinBox, затем нажимаем кнопку вставить и файл закачивается на устройство. Если возникли проблемы, смело обращайтесь ко мне!

Гостевая беспроводная сеть на роутере Mikrotik

Наверняка изначально может потребоваться явно указать желаемый часовой пояс (пример для Новосибирска): Такая реализация упрощает запуск устройства в работу, но не обеспечивает хорошей сетевой производительности из-за узкого места — CPU, через который будет пропускаться вся паразитная широковещательная коммутация, которой в реальной сети с количеством узлов за пару десятков не избежать. Настройки протестированы на двух доступных моделях MikroTik Rb750Gr3 и 951Ui 2HnD и так же подойдут для многих других моделей из-за единой операционной системы всех роутеров MikroTik RouterOS.

Выбор таблицы маршрутизации (routes / rule)

В предыдущем пункте мы создали два маршрута по умолчанию (0.0.0.0/0) в разных таблицах маршрутизации. Трафик, по умолчанию, всегда выберет маршрут в таблице main (это главная таблица маршрутизации на роутере). Но, мы можем поместить трафик во вторую таблицу маршрутизации используя инструмент ip / routes / rule.

Например, создадим правило, которое помещает пакеты во вторую таблицу маршрутизации, если адрес источника равен 192.168.0.6:

Базовая Настройка Firewall в Mikrotik • Шаг 2 настройка интерфейсов

Создание правила в ip / routes / rule

То есть пакеты от компьютера с адресом 192.168.0.6 будут помещены во вторую таблицу маршрутизации. А в ней есть маршрут – 0.0.0.0/0 > 10.10.11.1. Получается что трафик с компьютера 192.168.0.6 пойдет через второго провайдера, а все остальные компьютеры будут работать через первого провайдера.

Коротченков Дмитрий Николаевич, специалист по вопросам мобильной связи и интернета
Мнение эксперта
Коротченков Дмитрий Николаевич, специалист по вопросам мобильной связи и интернета
Со всеми вопросами смело обращайтесь ко мне, я помогу.
Задать вопрос эксперту
Прежде всего, если устройство только что поступило на полное реконфигурирование, есть смысл предварительно зачистить его настройки, и уже после этого приступать к дальнейшим действиям. Если возникли проблемы, смело обращайтесь ко мне!

Создание правил:

Что делать, если локальные сети у провайдеров одинаковые

В предыдущем примере у нас локальные сети провайдеров разные:

А если бы они были абсолютно одинаковые и вам бы, в добавок, выдали одинаковые ip-адреса для wan:

Базовая Настройка Firewall в Mikrotik • Шаг 2 настройка интерфейсов

Используя VRF

После проделанного, у вас должно получиться примерно следующее:

Настройки MikroTik

Я поменял ip-адрес для wan второго провайдера (ether4), он стал таким-же как и у первого провайдера (ether3).

В настройках nat, я изменил адрес (to addresses) для выхода через ether4 – 10.10.10.5.

Ну и после добавления в VRF ether4 во вторую таблицу маршрутизации, у наc connected маршрут от ether4 ушел в свою таблицу маршрутизации.

Использование VRF

Добавить комментарий