firewall mikrotik

Настройка Firewall в MikroTik, защита от DDOS атаки

Настройка находится в IP->Firewall

Разрешение установленных и связанных подключений для входящего и проходящего трафика

Настройка Mikrotik winbox, правило firewall accept forward

/ip firewall filter add action=accept chain=forward connection-state=established,related
Настройка Mikrotik winbox, правило firewall accept input
/ip firewall filter add action=accept chain=in connection-state=established,related

Доверительные правила для локальной сети

Настройка Firewall в MikroTik, доверие локальной сети
Настройка Firewall в MikroTik, разрешения для LAN
/ip firewall filter
add action=accept chain=input in-interface=bridge1
add action=accept chain=forward in-interface=bridge1

Разрешить ICMP запросы с WAN интерфейсов

Настройка Firewall в MikroTik, разрешить PING

/ip firewall filter add action=accept chain=in protocol=icmp in-interface=pppoe-out1

Удалить все пакеты в состоянии invalid

Настройка Mikrotik winbox, правило firewall drop forward invalid
Настройка Mikrotik winbox, правило firewall drop
/ip firewall filter add action=drop chain=forward connection-state=invalid
Настройка Mikrotik winbox, правило firewall drop input invalid

Настройка Mikrotik winbox, правило firewall drop
/ip firewall filter add action=drop chain=input connection-state=invalid

Удалить все остальные пакеты

Настройка Mikrotik winbox, правило firewall drop input
Настройка Mikrotik winbox, правило firewall drop
/ip firewall filter add action=drop chain=in

Правила настройки Firewall в роутере MikroTik

Практический пример.

Aктивные службы: NAT(scrnat и dstnat), DHCP, WiFi, Firewall и VPN туннель типа Ipsec с аналогичной моделью. Правила Firewall-а были приняты в работу после инцидентов со 100% загрузкой CPU(роутер тормозит и зависает). Счетчики пакетов после 11 дней работы выглядят следующим образом:

Настройка Mikrotik winbox, пример Firewall
> /ip firewall filter print 
Flags: X - disabled, I - invalid, D - dynamic 
0 D ;;; special dummy rule to show fasttrack counters
chain=forward action=passthrough

1 chain=forward action=fasttrack-connection connection-state=established,related log=no log-prefix=""

2 ;;; IPSec
chain=forward action=accept log=no log-prefix="" ipsec-policy=in,ipsec

3 chain=forward action=accept log=no log-prefix="" ipsec-policy=out,ipsec

4 ;;; Base-Exchange-Rules
chain=input action=accept connection-state=established log=no log-prefix=""

5 chain=forward action=accept connection-state=established log=no log-prefix=""

6 chain=forward action=accept src-address=x.x.x.x/x log=no log-prefix=""

7 chain=forward action=accept connection-state=related log=no log-prefix=""

8 chain=input action=accept connection-state=related log=no log-prefix=""

9 ;;; Forward-Access
chain=forward action=accept protocol=tcp in-interface=ether1 dst-port=8000 log=no log-prefix=""

10 ;;; Remote-Access
chain=input action=accept src-address-list=Remote-Access log=no log-prefix=""

11 ;;; ICMP
chain=input action=accept protocol=icmp log=no log-prefix=""

12 ;;; Drop-Invalid
chain=input action=drop connection-state=invalid log=no log-prefix=""

13 chain=forward action=drop connection-state=invalid log=no log-prefix=""

14 ;;; Drop-Other
chain=input action=drop in-interface=ether1 log=no log-prefix=""

15 chain=forward action=drop log=no log-prefix=""

Remote-Access – список ip-адресов, с которых разрешено внешнее подключение.

Как защитить MikroTik от DDOS атаки

В первой части статьи, описанные правила Firewall имеют определенно строгий вид и если их описать словами то:

Разрешены(Accept):

  • все установленные ранее подключения(было разрешено ранее, значит и сейчас будет разрешено);
  • запросы с локальной сети, полное доверие;
  • запросы на команду PING с внешней сети, имеет диагностический характер.

Запрещены(Drop):

  • пакеты в состоянии invalid;
  • все другие пакеты, которые не подошли ни к одному из правил выше.

Как правило DDOS атаки совершаются через ICMP запросы и этой единственный возможный запрос, на который ответит роутер MikroTik по цепочке Input. Все остальные пакеты он будет напросто отклонять.

Дополнительная мера по защите от атаки – Блокировка сканера портов в MikroTik

В качестве метода по борьбе с DDoS атакой будет рассмотрен сценарий, в котором будет применяться фильтр на количество новых подключений в цепочках Input и Forward.

Настройка Mikrotik winbox, пример защиты от DDoS
/ip firewall filter
add action=jump chain=forward connection-state=new in-interface=ether1 jump-target=Pre-DDoS
add action=jump chain=input connection-state=new in-interface=ether1 jump-target=Pre-DDoS
add action=drop chain=forward connection-state=new src-address-list=BAN-DDoS
add action=drop chain=input connection-state=new src-address-list=BAN-DDoS
add action=return chain=Pre-DDoS dst-limit=32,32,src-address/10s
add action=add-src-to-address-list address-list=BAN-DDoS address-list-timeout=14d chain=Pre-DDoS
Previous Story

Как очистить или удалить файлы журнала в Linux или UNIX?

Next Story

Сброс забытого пароля Raspberry Pi с помощью простого редактирования файла TXT

Latest from Blog

Zabbix – Docker – Raspberry Pi

Для начала установим Portainer – веб-интерфейс для управления docker-контейнерами. Бесплатно, удобно, подойдет новичкам в docker. Установка

Сетевая папка/диск в Linux

x.x.x.x адрес шары /mnt/shara точка монтирования user пользователь с доступом к шаре 1234 пароль пользователя Для

Памятка SSH

В статье описаны продвинутые функций OpenSSH, которые позволяют сильно упростить жизнь системным администраторам и программистам, которые

0 £0.00