Настройка MikroTik firewall. Примеры настроек Mikrotik.

MikroTik firewall, MikroTik фаервол



Полезная ссылка: О нас и наших клиентах

 

Основные настройки MikroTik firewall

 

1 /ip firewall filter

2 add chain=input connection-state=invalid action=drop comment="сброс неудачные сессии"

3 add chain=input connection-state=established action=accept comment="разрешить все подключения"

4 add chain=input protocol=icmp action=accept comment="Разрешить ICMP"

5 add chain=input src-address=192.168.25.0/24 action=accept in-interface=!ether1 comment="Позволить внутренний трафик на портах, кроме WAN порта"

6 add chain=input action=drop comment="Все остальной трафик запретить."

 

Полезная ссылка: Консультация по настройке оборудования Mikrotik

 

Данные команды фильтра защищают сам маршрутизатор , однако Mikrotik. При использовании NAT или моста(bridging) для других устройств, то необходимо добавить следующие команды MikroTik.

 

1 /ip firewall filter

2 add chain=forward protocol=tcp connection-state=invalid action=drop comment="сброс неудачных подключений"

3 add chain=forward connection-state=established action=accept comment=" разрешить уже установленные  сессии"

4 add chain=forward connection-state=related action=accept comment="разрешить связанные сессии"

 

Настройка блокировки FTP Bruteforce на MikroTik firewall

1 /ip firewall filter

2 add chain=output action=accept protocol=tcp content="530 Login incorrect" dst-limit=1/1m,9,dst-address/1m  disabled=no

3 add chain=output action=add-dst-to-address-list protocol=tcp content="530 Login incorrect" address-list="Blocked IP's" address-list-timeout=3h

 

Закрываем сканеры портов при помощи MikroTik фаервола

 

1 /ip firewall filter

2 add chain=input protocol=tcp psd=21,3s,3,1 action=add-src-to-address-list address-list="Blocked IP's" address-list-timeout=2w comment="добавляем порты сканеров в блок лист" disabled=no

 

Отсечем другие типы сканирования портов.

1 /ip firewall filter

2 add chain=input protocol=tcp tcp-flags=fin,!syn,!rst,!psh,!ack,!urg action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w comment="NMAP FIN Stealth scan"

3 add chain=input protocol=tcp tcp-flags=fin,syn action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w comment="SYN/FIN scan"

4 add chain=input protocol=tcp tcp-flags=syn,rst action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w comment="SYN/RST scan"

5 add chain=input protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w comment="FIN/PSH/URG scan"

6 add chain=input protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w comment="ALL/ALL scan"

7 add chain=input protocol=tcp tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w comment="NMAP NULL scan"

Дополнительные настройки MikroTik firewall

 

Настройка блокировки UDP трафика на  MikroTik firewall

/ Ip firewall filter
add chain = udp protocol = udp dst-port = 69 action = drop comment = "Blocking UDP Packet" disabled = no
add chain = udp protocol = udp dst-port = 111 action = drop comment = "" disabled = no
add chain = udp protocol = udp dst-port = 135 action = drop comment = "" disabled = no
add chain = udp protocol = udp dst-port = 137-139 action = drop comment = "" disabled = no
add chain = tcp protocol = tcp dst-port = 2049 action = drop comment = "" disabled = no
add chain = udp protocol = udp dst-port = 3133 action = drop comment = "" disabled = no

Настройка блокировки TCP трафика на  MikroTik фаервол

/ Ip firewall filter

add chain = tcp protocol = tcp dst-port = 69 action = drop comment = "Bloking TCP Packet" disabled = no
add chain = tcp protocol = tcp dst-port = 111 action = drop comment = "" disabled = no
add chain = tcp protocol = tcp dst-port = 119 action = drop comment = "" disabled = no
add chain = tcp protocol = tcp dst-port = 135 action = drop comment = "" disabled = no
add chain = tcp protocol = tcp dst-port = 137-139 action = drop comment = "" disabled = no
add chain = tcp protocol = tcp dst-port = 445 action = drop comment = "" disabled = no
add chain = tcp protocol = tcp dst-port = 2049 action = drop comment = "" disabled = no
add chain = tcp protocol = tcp dst-port = 12345-12346 action = drop comment = "" disabled = no
add chain = tcp protocol = tcp dst-port = 20034 action = drop comment = "" disabled = no
add chain = tcp protocol = tcp dst-port = 3133 action = drop comment = "" disabled = no
add chain = tcp protocol = tcp dst-port = 67-68 action = drop comment = "" disabled = no

Настройки DOS фильтра на  MikroTik

/ Ip firewall filter

add chain = icmp protocol = icmp icmp-options = 0:0-255 limit = 5.5 action = accept comment = "Ping Flood Limited" disabled = no
add chain = icmp protocol = icmp icmp-options = 3:3 limit = 5.5 action = accept comment = "" disabled = no
add chain = icmp protocol = icmp icmp-options = 3:4 limit = 5.5 action = accept comment = "" disabled = no
add chain = icmp protocol = icmp icmp-options = 8:0-255 limit = 5.5 action = accept comment = "" disabled = no
add chain = icmp protocol = icmp icmp-options = 11:0-255 limit = 5.5 action = accept comment = "" disabled = no
add chain = icmp protocol = icmp action = drop comment = "" disabled = no

Настройки  P2P сессий фильтра MikroTik фаервол

/ Ip firewall filter

add chain = forward p2p = all-p2p action = accept comment = "P2P traffic" disabled = no


 

Полезные ссылки:


Консультация и настройка оборудования Mikrotik

Консультация и настройка оборудования Cisco

Консультация и настройка оборудования Juniper



Обновлен 12 июл 2014. Создан 11 апр 2013



  Комментарии       
Всего 3, последний 2 года назад
coobik 19 мая 2014 ответить
В настройке блокировки UDP трафика:
add chain = tcp protocol = tcp dst-port = 2049 или add chain = udp protocol = udp dst-port = 2049 опечатка? или нет
Айдар 03 июн 2014 ответить
Спасибо за помощь в настройке
Светозар 30 апр 2015 ответить
нет не опечатка просто уберите лишние пробелы там где встречается " = " на просто "="
Имя или Email


При указании email на него будут отправляться ответы
Как имя будет использована первая часть email до @
Сам email нигде не отображается!
Зарегистрируйтесь, чтобы писать под своим ником

____

______
Яндекс.Метрика