Firewall дает огромные возможности по управлению сетевым трафиком, проходящим через Mikrotik. Вы, как администратор сети, должны суметь разделить все потоки трафика. дать каждому из них свои права, а весь лишний трафик — заблокировать.
Firewall в Mikrotik по большей части позаимствован из IPTables из Linux.
На вебинаре мы подробно разберем все вкладки меню IP->Firewall, назначения всех параметров и пунктов.
2. Вопросы вебинара
2
Firewall в Mikrotik: разбираем, как обеспечивать безопасность сети
.
Курсы по Mikrotik с гарантией результата
• Firewall filter
• Chain ( Цепочки)
• Action (Действия)
• Connection State
• Firewall nat
• Chain (Цепочки)
• Action (Действия)
• Задача
• Обсуждение
3. Firewall filter
3
Firewall в Mikrotik: разбираем, как обеспечивать безопасность сети
Курсы по Mikrotik с гарантией результата
• Система сетевой безопастности
• Работает по принципу «Если-То»
• Существуют предопределенные цепочки
• Input ( В роутер – для защиты роутера)
• Forward (Через роутер - для защиты клиентов за роутером)
• Output (Из роутера – фильтрация пакетов из роутера)
• Можно создавать собственные цепочки – jump
4. Filter Actions
3
Firewall в Mikrotik: разбираем, как обеспечивать безопасность сети
Курсы по Mikrotik с гарантией результата
• Каждое правило имеет действие - что делать,
когда пакет попал под это правило.
5. Connection State
3
Firewall в Mikrotik: разбираем, как обеспечивать безопасность сети
Курсы по Mikrotik с гарантией результата
• Пакеты имеют состоянеие:
• New - пакет открывает новое соединение
• Established - пакет принадлежит к уже
открытому соединению
• Related - пакет открывает новое
соединение, но оно имеет отношение к
уже имеющемуся соединению
• Invalid - пакет не принадлежит ни к
одному из известных соединений.
6. Firewall NAT
3
Firewall в Mikrotik: разбираем, как обеспечивать безопасность сети
Курсы по Mikrotik с гарантией результата
• Network Address Translation (NAT) это
процедура изменения src или dst адресов в
заголовке пакета
• Существуют два типа NAT - Source NAT и
Destination NAT
192.168.10.2 1.1.1.1
192.168.10.2:80 1.1.1.1:80
7. NAT Actions
3
Firewall в Mikrotik: разбираем, как обеспечивать безопасность сети
Курсы по Mikrotik с гарантией результата
• Каждое правило NAT имеет действие - что
делать, когда пакет попал под это правило.
8. Задача
4
Firewall в Mikrotik: разбираем, как обеспечивать безопасность сети
Курсы по Mikrotik с гарантией результата
• Настроить выход в интернет
• Настроить работу с established/related/invalid connection state
• Закрыть доступ к роутеру с внешнего интерфейса
• Открыть доступ к OpenVPN/SSTP/L2tp-ipsec/PPTP серверам
• Открыть доступ к WinBox
• Закрыть доступ в Интернет - (192.168.x.34 ; 192.168.x.54; 192.168.x.65
– 89)
• Закройте ping до сайта integrasky.ru
• Пользователям 192.168.x.24, 192.168.x25 – нужно закрыть доступ на
сервер mail.integrasky.ru на порты 110,25,143,80,443
• Роутер не должен пинговать 8.8.8.8
• Пользователи VPN сервисов не должны иметь досуп в локальную
сеть кроме 80 и 443 TCP порта
• Пробросить 80 порт на 192.168.x.24
• Настроить Port Knocking для доступа к ssh mikrotik