Порядок расположения правил в Firewall
Первыми в цепочке должны быть правила, которые охватывают максимальный объем трафика, чтобы он дальше не обрабатывался устройством. Примером такого правила является разрешение пакетов уже установленных (established) или связанных (related) соединений, которые ранее были разрешены каким-то правилом. Повторно проверять по всем правилам их не нужно.
/ip firewall filter add action=accept chain=input comment="accept establish & related" connection-state=established,related
Отбрасываем все неверные (Invalid) пакеты
/ip firewall filter add action=drop chain=input comment="drop invalid" connection-state=invalid
Разрешаем icmp трафик, чтобы можно было пинговать роутер.
/ip firewall filter add action=accept chain=input comment="accept ICMP" protocol=icmp
Правило для цепочки input, которое будет блокировать все запросы, пришедшие не из локальной сети.
/ip firewall filter add action=drop chain=input comment="drop all not from lan" in-interface=!bridge-lan
Правила для транзитного трафика цепочки forward. Здесь по аналогии с input первыми идут правила для established, related, invalid пакетов.
/ip firewall filter add action=accept chain=forward comment="accept established,related" connection-state=established,related
/ip firewall filter add action=drop chain=forward comment="drop invalid" connection-state=invalid
Запретим все запросы из внешней сети, связь с которой через интерфейс ether1-wan к локальной сети.
/ip firewall filter add action=drop chain=forward comment="drop all from WAN to LAN" connection-nat-state=!dstnat connection-state=new in-interface=ether1-wan
Блокируем все остальные запросы по цепочке forward из локальной сети.
/ip firewall filter add action=drop chain=forward comment="drop all from LAN to WAN" in-interface=bridge-lan out-interface=ether1-wan
Разрешаем интернет из локалки для динамического ip
/ip firewall nat add action=masquerade chain=srcnat out-interface=ether1-wan
Разрешаем интернет из локалки для статистического ip, 10.10.10.2 ip адрес на wan интерфейсе.
/ip firewall nat add action=src-nat chain=srcnat out-interface=ether1-wan to-addresses=10.10.10.2
Проброс портов
/ip firewall nat add action=dst-nat chain=dstnat dst-port=41221 in-interface=ether1-wan protocol=tcp to-addresses=192.168.2.20 to-ports=3389
Блокировка через добавление ip в черный список.
/ip firewall raw add action=drop chain=prerouting comment=BlackList src-address-list=blacklist
/ip firewall address-list
add address=1.2.3.4 comment=hidecomment list=blacklist
add address=2.3.4.5 comment=hidecomment list=blacklist
add address=3.4.5.6 comment=hidecomment list=blacklist
|