Настройка firewall на роутере Mikrotik

Роутеры кампаніі Mikrotik дастаткова папулярныя і ўстаноўлены ў дамах або офісах у многіх карыстальнікаў. Асноўны бяспекі працы з такім абсталяваннем з'яўляецца дакладна наладжаны firewall. Ён уключае ў сябе набор параметраў і правілаў, якія дазваляюць засцерагчы сетку ад старонніх злучэнняў і узломаў.

Наладжвальны firewall роутера Mikrotik

Налада маршрутызатара ажыццяўляецца з дапамогай адмысловай аперацыйнай сістэмы, якая дазваляе выкарыстоўваць вэб-інтэрфейс або спецыяльную праграму. У двух гэтых версіях прысутнічаюць усё неабходнае для рэдагавання фаервол, таму не мае значэння, чаму вы аддасце перавагу. Мы ж спынімся на браузерной версіі. Перад пачаткам вам неабходна выканаць уваход:

1. Праз любы зручны браўзэр перайдзіце па адрасе 192.168.88.1.



2. У стартавым акне вэб-інтэрфейсу роутера выберыце «Webfig».



3. Перад вамі адлюструецца форма для ўваходу. Увядзіце ў радках лагін і пароль, якія па змаўчанні маюць значэння admin.

Дэталёва аб поўнай наладзе роутеров дадзенай кампаніі вы можаце даведацца ў іншай нашай артыкуле па спасылцы ніжэй, а мы пяройдзем непасрэдна да канфігурацыі ахоўных параметраў.

Больш падрабязна: Як наладзіць роутер Mikrotik

Ачышчэнне ліста правілаў і стварэнне новых

Пасля ўваходу перад вамі адлюструецца галоўнае меню, дзе злева прысутнічае панэль з усімі катэгорыямі. Перад даданнем уласнай канфігурацыі вам спатрэбіцца выканаць наступнае:

1. Разгарніце катэгорыю «IP» і перайдзіце ў раздзел «Firewall».



2. Ачысціце ўсе прысутныя правілы націскам на адпаведную кнопку. Вырабіць гэта неабходна для таго, каб у далейшым не ўзнікала канфліктаў пры стварэнні ўласнай канфігурацыі.



3. Калі вы ўвайшлі ў меню праз браўзэр, пераход да акна стварэння налады ажыццяўляецца праз кнопку «Add», у праграме ж вам варта націснуць на чырвоны плюс.

Цяпер, пасля дадання кожнага правіла, вам трэба будзе клікаць на гэтыя ж кнопкі стварэння, каб зноўку разгарнуць акно рэдагавання. Давайце больш падрабязна спынімся на ўсіх асноўных параметрах бяспекі.

Праверка сувязі прылады

Злучаны з кампутарам роутер часам правяраецца аперацыйнай сістэмай Windows на наяўнасць актыўнага падлучэння. Запусціць такі працэс можна і ўручную, аднак даступна гэты зварот будзе толькі ў тым выпадку, калі ў фаервол прысутнічае правіла, якое дазваляе сувязь з АС. Наладжваецца яно наступным чынам:

1. Націсніце на «Add» або чырвоны плюс для адлюстравання новага акна. Тут у радку «Chain», што перакладаецца як «Сетка» пакажыце «Input» - які ўваходзіць. Так гэта дапаможа вызначыць, што сістэма звяртаецца да маршрутызатара.



2. На пункт «Protocol» устанавіце значэнне «icmp». Дадзены тып служыць для перадачы паведамленняў, звязаных з памылкамі і іншымі нестандартнымі сітуацыямі.



3. Перамесціцеся ў падзел або ўкладку «Action», дзе пастаўце «Accept», гэта значыць такое рэдагаванне дазваляе праводзіць пинговку прылады Windows.
4. Паўстанце ўверх, каб прымяніць змены і завяршыць рэдагаванне правілы.

Аднак на гэтым увесь працэс абмену паведамленнямі і праверкі абсталявання праз АС Віндовс не сканчаецца. Другім пунктам з'яўляецца перадача дадзеных. Таму стварыце новы параметр, дзе пакажыце «Сhain» - «Forward», а пратакол задайце такім, як гэта зрабілі на папярэднім кроку.

Не забудзьцеся праверыць «Action», каб там было пастаўлена «Accept».

Дазвол устаноўленых падлучэнняў

Да роўтара часам падключаюцца іншыя прылады з дапамогай Wi-Fi або кабеляў. Акрамя гэтага можа выкарыстоўвацца хатняя ці карпаратыўная група. У такім выпадку спатрэбіцца дазволіць устаноўленыя падлучэння, каб не ўзнікала праблем з доступам у інтэрнэт.

1. Націсніце «Add». Зноў пакажыце тып ўваходзіць тып сеткі. Апусціцеся трохі ўніз і пастаўце галачку «Established» насупраць «Connection State», каб паказаць усталяванае злучэнне.



2. Не забывайце праверыць «Action», каб там быў абраны неабходны нам пункт, як і ў папярэдніх канфігурацыях правілаў. Пасля гэтага можна захаваць змены і перайсці далей.

Яшчэ ў адным правіле пастаўце «Forward» каля «Chain» і адзначце галачкай той жа пункт. Дзеянне таксама варта пацвердзіць, выбраўшы «Accept», толькі пасля гэтага пераходзіце далей.

Дазвол звязаных падлучэнняў

Прыкладна такія ж правілы спатрэбіцца стварыць і для звязаных падлучэнняў, каб не ўзнікала канфліктаў пры спробе аўтэнтыфікацыі. Увесь працэс ажыццяўляецца літаральна ў некалькі дзеянняў:

1. Вызначыце для правілы значэнне «Chain» - «Input», апусціцеся ўніз і адзначце галачкай «Related» насупраць надпісы «Connection State». Не забудзьцеся і пра раздзел «Action», дзе актывуецца усё той жа параметр.



2. У другой новай наладзе тып злучэння пакіньце такі ж, а вось сетку ўстанавіце «Forward», таксама ў раздзеле дзеянні вам неабходны пункт «Accept».

Абавязкова захоўвайце змены, каб правілы дадаваліся ў спіс.

Дазвол падлучэнняў з лакальнай сеткі

Карыстальнікі лакальнай сеткі змогуць падлучацца толькі ў тым выпадку, калі гэта ўстаноўлена ў правілах firewall. Для рэдагавання вам спачатку неабходна атрымаць гэтую, куды падлучаны кабель правайдэра (у большасці выпадкаў гэта ether1), а таксама IP-адрас вашай сеткі. Дэталёва аб гэтым чытайце ў іншым нашым матэрыяле па спасылцы ніжэй.

Больш падрабязна: Як даведацца IP-адрас свайго кампутара

Далей трэба наладзіць ўсяго адзін параметр. Робіцца гэта наступным чынам:

1. У першым радку пастаўце «Input», пасля чаго апусціцеся да наступнай «Src. Address »і надрукуйце там IP-адрас. «In. Interface »пакажыце« Ether1 », калі ўваходны кабель ад правайдэра падлучаны менавіта да яго.



2. Перамесціцеся ва ўкладку «Action», каб праставіць там значэнне «Accept».

Забарона памылковых злучэнняў

Стварэнне гэтага правіла дапаможа вам прадухіляць памылковыя злучэння. Адбываецца аўтаматычнае вызначэнне непраўдзівых падлучэнняў па пэўных фактараў, пасля чаго праводзіцца іх скід і ім не будзе прадастаўлены доступ. Вам трэба стварыць два параметру. Робіцца гэта наступным чынам:

1. Як і ў некаторых папярэдніх правілах, спачатку пакажыце «Input», пасля чаго апусціцеся ўніз і пастаўце галачку «invalid» каля «Connection State».



2. Перайдзіце ва ўкладку або раздзел «Action» і ўсталюеце значэнне «Drop», што азначае скід злучэнняў такога тыпу.
3. У новым акне зменіце толькі «Chain» на «Forward», астатняе выстаўце так, як і ў папярэднім, уключаючы дзеянне «Drop».

Можна таксама забараніць і іншыя спробы злучэння з знешніх крыніц. Ажыццяўляецца гэта наладай ўсяго аднаго правілы. Пасля «Chain» - «Input» паставіце «In. Interface »-« Ether1 »і« Action »-« Drop ».

Дазвол праходжання трафіку з лакальнай сеткі ў інтэрнэт

Праца ў аперацыйнай сістэме RouterOS дазваляе распрацоўваць мноства канфігурацый праходжання трафіку. Мы не будзе спыняцца на гэтым, паколькі звычайным карыстальнікам такія веды ня спатрэбяцца. Разгледзім толькі адно правіла фаервол, якое дазваляе праходзіць трафіку з лакальнай сеткі ў інтэрнэт:

1. Выберыце «Chain» - «Forward». Задайце «In. Interface »і« Out. Interface »значэння« Ether1 », пасля чаго адзначце клічнікам« In. Interface ».



2. У раздзеле «Action» выберыце дзеянне «Accept».

Забараніць астатнія падлучэння вы можаце таксама ўсяго адным правілам:

1. Выберыце толькі сетка «Forward», ня выстаўляючы больш нічога.



2. У «Action» пераканайцеся, што варта «Drop».

Па выніку канфігурацыі ў вас павінна атрымаецца прыкладна такая схема firewall, як на скрыншоце ніжэй.

На гэтым наш артыкул падыходзіць да лягічнага завяршэньня. Хацелася б адзначыць, што вам не абавязкова ўжываць усе правілы, бо не заўсёды яны могуць спатрэбіцца, аднак мы прадэманстравалі асноўную наладу, якая падыдзе большасці шэраговых карыстальнікаў. Спадзяемся, прадстаўленая інфармацыя была карыснай. Калі ў вас засталіся пытанні па гэтай тэме, задавайце іх у каментарах.