Суббота, 18.05.2024, 12:15
Приветствую Вас Гость | RSS
UBUNTOLOG
Главная | Каталог статей | Регистрация | Вход
Форма входа

Меню сайта
Категории раздела
Server [44]
WEB [14]
Все что связанно с web технологиями
Desktop [11]
Все что связанно с рабочей станцией
Статистика
Онлайн всего: 1
Гостей: 1
Пользователей: 0
Поиск
Друзья сайта
  • Официальный блог
  • Сообщество uCoz
  • FAQ по системе
  • Инструкции для uCoz
    		•
    Главная » Статьи » Server
    Mikrotik Firewall

    Порядок расположения правил в Firewall

    Первыми в цепочке должны быть правила, которые охватывают максимальный объем трафика, чтобы он дальше не обрабатывался устройством. Примером такого правила является разрешение пакетов уже установленных (established) или связанных (related) соединений, которые ранее были разрешены каким-то правилом. Повторно проверять по всем правилам их не нужно. 


    /ip firewall filter add action=accept chain=input comment="accept establish & related" connection-state=established,related

    Отбрасываем все неверные (Invalid) пакеты
    /ip firewall filter add action=drop chain=input comment="drop invalid" connection-state=invalid

    Разрешаем icmp трафик, чтобы можно было пинговать роутер.
    /ip firewall filter add action=accept chain=input comment="accept ICMP" protocol=icmp

    Правило для цепочки input, которое будет блокировать все запросы, пришедшие не из локальной сети.
    /ip firewall filter add action=drop chain=input comment="drop all not from lan" in-interface=!bridge-lan

    Правила для транзитного трафика цепочки forward. Здесь по аналогии с input первыми идут правила для established, related, invalid пакетов.
    /ip firewall filter add action=accept chain=forward comment="accept established,related" connection-state=established,related
    /ip firewall filter add action=drop chain=forward comment="drop invalid" connection-state=invalid

    Запретим все запросы из внешней сети, связь с которой через интерфейс ether1-wan к локальной сети.
    /ip firewall filter add action=drop chain=forward comment="drop all from WAN to LAN" connection-nat-state=!dstnat connection-state=new in-interface=ether1-wan

    Блокируем все остальные запросы по цепочке forward из локальной сети.
    /ip firewall filter add action=drop chain=forward comment="drop all from LAN to WAN" in-interface=bridge-lan out-interface=ether1-wan

    Разрешаем интернет из локалки для динамического ip
    /ip firewall nat add action=masquerade chain=srcnat out-interface=ether1-wan

    Разрешаем интернет из локалки для статистического ip, 10.10.10.2 ip адрес на wan интерфейсе.
    /ip firewall nat add action=src-nat chain=srcnat out-interface=ether1-wan to-addresses=10.10.10.2

    Проброс портов
    /ip firewall nat add action=dst-nat chain=dstnat dst-port=41221 in-interface=ether1-wan protocol=tcp to-addresses=192.168.2.20 to-ports=3389

    Блокировка через добавление ip в черный список. 
    /ip firewall raw add action=drop chain=prerouting comment=BlackList src-address-list=blacklist
    /ip firewall address-list
    add address=1.2.3.4 comment=hidecomment list=blacklist
    add address=2.3.4.5 comment=hidecomment list=blacklist
    add address=3.4.5.6 comment=hidecomment list=blacklist

    Категория: Server | Добавил: Vyacheslav (21.01.2022)
    Просмотров: 209 | Комментарии: 6 | Рейтинг: 0.0/0
    Всего комментариев: 0
    Имя *:
    Email *:
    Код *:
    Copyright VR © 2024
    Сделать бесплатный сайт с uCoz