0

firewall mikrotik

Настройка Firewall в MikroTik, защита от DDOS атаки

21.02.2022

Настройка находится в IP->Firewall

Разрешение установленных и связанных подключений для входящего и проходящего трафика

Настройка Mikrotik winbox, правило firewall accept forward

/ip firewall filter add action=accept chain=forward connection-state=established,related
Настройка Mikrotik winbox, правило firewall accept input
/ip firewall filter add action=accept chain=in connection-state=established,related

Доверительные правила для локальной сети

Настройка Firewall в MikroTik, доверие локальной сети
Настройка Firewall в MikroTik, разрешения для LAN
/ip firewall filter
add action=accept chain=input in-interface=bridge1
add action=accept chain=forward in-interface=bridge1

Разрешить ICMP запросы с WAN интерфейсов

Настройка Firewall в MikroTik, разрешить PING

/ip firewall filter add action=accept chain=in protocol=icmp in-interface=pppoe-out1

Удалить все пакеты в состоянии invalid

Настройка Mikrotik winbox, правило firewall drop forward invalid
Настройка Mikrotik winbox, правило firewall drop
/ip firewall filter add action=drop chain=forward connection-state=invalid
Настройка Mikrotik winbox, правило firewall drop input invalid

Настройка Mikrotik winbox, правило firewall drop
/ip firewall filter add action=drop chain=input connection-state=invalid

Удалить все остальные пакеты

Настройка Mikrotik winbox, правило firewall drop input
Настройка Mikrotik winbox, правило firewall drop
/ip firewall filter add action=drop chain=in

Правила настройки Firewall в роутере MikroTik

Практический пример.

Aктивные службы: NAT(scrnat и dstnat), DHCP, WiFi, Firewall и VPN туннель типа Ipsec с аналогичной моделью. Правила Firewall-а были приняты в работу после инцидентов со 100% загрузкой CPU(роутер тормозит и зависает). Счетчики пакетов после 11 дней работы выглядят следующим образом:

Настройка Mikrotik winbox, пример Firewall
> /ip firewall filter print 
Flags: X - disabled, I - invalid, D - dynamic 
0 D ;;; special dummy rule to show fasttrack counters
chain=forward action=passthrough

1 chain=forward action=fasttrack-connection connection-state=established,related log=no log-prefix=""

2 ;;; IPSec
chain=forward action=accept log=no log-prefix="" ipsec-policy=in,ipsec

3 chain=forward action=accept log=no log-prefix="" ipsec-policy=out,ipsec

4 ;;; Base-Exchange-Rules
chain=input action=accept connection-state=established log=no log-prefix=""

5 chain=forward action=accept connection-state=established log=no log-prefix=""

6 chain=forward action=accept src-address=x.x.x.x/x log=no log-prefix=""

7 chain=forward action=accept connection-state=related log=no log-prefix=""

8 chain=input action=accept connection-state=related log=no log-prefix=""

9 ;;; Forward-Access
chain=forward action=accept protocol=tcp in-interface=ether1 dst-port=8000 log=no log-prefix=""

10 ;;; Remote-Access
chain=input action=accept src-address-list=Remote-Access log=no log-prefix=""

11 ;;; ICMP
chain=input action=accept protocol=icmp log=no log-prefix=""

12 ;;; Drop-Invalid
chain=input action=drop connection-state=invalid log=no log-prefix=""

13 chain=forward action=drop connection-state=invalid log=no log-prefix=""

14 ;;; Drop-Other
chain=input action=drop in-interface=ether1 log=no log-prefix=""

15 chain=forward action=drop log=no log-prefix=""

Remote-Access – список ip-адресов, с которых разрешено внешнее подключение.

Как защитить MikroTik от DDOS атаки

В первой части статьи, описанные правила Firewall имеют определенно строгий вид и если их описать словами то:

Разрешены(Accept):

  • все установленные ранее подключения(было разрешено ранее, значит и сейчас будет разрешено);
  • запросы с локальной сети, полное доверие;
  • запросы на команду PING с внешней сети, имеет диагностический характер.

Запрещены(Drop):

  • пакеты в состоянии invalid;
  • все другие пакеты, которые не подошли ни к одному из правил выше.

Как правило DDOS атаки совершаются через ICMP запросы и этой единственный возможный запрос, на который ответит роутер MikroTik по цепочке Input. Все остальные пакеты он будет напросто отклонять.

Дополнительная мера по защите от атаки – Блокировка сканера портов в MikroTik

В качестве метода по борьбе с DDoS атакой будет рассмотрен сценарий, в котором будет применяться фильтр на количество новых подключений в цепочках Input и Forward.

Настройка Mikrotik winbox, пример защиты от DDoS
/ip firewall filter
add action=jump chain=forward connection-state=new in-interface=ether1 jump-target=Pre-DDoS
add action=jump chain=input connection-state=new in-interface=ether1 jump-target=Pre-DDoS
add action=drop chain=forward connection-state=new src-address-list=BAN-DDoS
add action=drop chain=input connection-state=new src-address-list=BAN-DDoS
add action=return chain=Pre-DDoS dst-limit=32,32,src-address/10s
add action=add-src-to-address-list address-list=BAN-DDoS address-list-timeout=14d chain=Pre-DDoS

Свежие комментарии

Подписка

Лучшие статьи


Fatal error: Uncaught Error: Call to a member function have_posts() on null in /home/host1867038/the-devops.ru/htdocs/www/wp-content/themes/fox/inc/blog.php:393 Stack trace: #0 /home/host1867038/the-devops.ru/htdocs/www/wp-content/themes/fox/widgets/latest-posts/widget.php(257): fox56_blog_grid(NULL, Array) #1 /home/host1867038/the-devops.ru/htdocs/www/wp-content/themes/fox/widgets/latest-posts/register.php(33): include('/home/host18670...') #2 /home/host1867038/the-devops.ru/htdocs/www/wp-includes/class-wp-widget.php(394): Wi_Widget_Latest_Posts->widget(Array, Array) #3 /home/host1867038/the-devops.ru/htdocs/www/wp-includes/widgets.php(845): WP_Widget->display_callback(Array, Array) #4 /home/host1867038/the-devops.ru/htdocs/www/wp-content/themes/fox/inc/single.php(417): dynamic_sidebar('sidebar') #5 /home/host1867038/the-devops.ru/htdocs/www/wp-content/themes/fox/inc/single.php(136): fox56_single_sidebar() #6 /home/host1867038/the-devops.ru/htdocs/www/wp-content/themes/fox/inc/single.php(7): fox56_single_inner() #7 /home/host1867038/the-devops.ru/htdocs/www/wp-content/themes/fox/single.php(23): fox56_single() #8 /home/host1867038/the-devops.ru/htdocs/www/wp-includes/template-loader.php(106): include('/home/host18670...') #9 /home/host1867038/the-devops.ru/htdocs/www/wp-blog-header.php(19): require_once('/home/host18670...') #10 /home/host1867038/the-devops.ru/htdocs/www/index.php(17): require('/home/host18670...') #11 {main} thrown in /home/host1867038/the-devops.ru/htdocs/www/wp-content/themes/fox/inc/blog.php on line 393