Записки IT специалиста
Межсетевой экран, он же брандмауэр или файрвол — важнейшая служба вашего роутера, отвечающая как за его безопасность, так и за безопасность всей сети. Мы до сих пор не рассматривали базовую настройку брандмауэра в отрыве от общей настройки роутера, но как показала практика, многие администраторы откровенно плавают в этом вопросе и имеют некорректно или не оптимально настроенные системы. Как минимум это выливается в повышенную нагрузку на оборудование, а в самом плохом варианте ставит под угрозу безопасность всей сети. Поэтому давайте отдельно разберемся в этом вопросе.
Научиться настраивать MikroTik с нуля или систематизировать уже имеющиеся знания можно на углубленном курсе по администрированию MikroTik. Автор курса, сертифицированный тренер MikroTik Дмитрий Скоромнов, лично проверяет лабораторные работы и контролирует прогресс каждого своего студента. В три раза больше информации, чем в вендорской программе MTCNA, более 20 часов практики и доступ навсегда.
Общие принципы построения брандмауэра
Существует два основных типа настройки брандмауэра: нормально открытый брандмауэр и нормально закрытый. В первом случае разрешено все, что явно не запрещено, во втором случае — запрещено все, что явно не разрешено.
Возможно, для кого-то будет новостью, но оба этих подхода обычно гармонично сочетаются в рамках одного устройства. Нормально открытый брандмауэр применяется для внутренних сетей и исходящих соединений, а нормально закрытый — для все остальных соединений из внешних сетей. Это позволяет достичь простоты и удобства для собственных пользователей и в тоже время надежно защититься от внешнего мира.
Любое новое соединение первоначально находится в статусе нового (new) и мы должны принять решение: одобрить его или запретить. Для этой задачи и предназначены создаваемые нами правила, в нормально закрытом брандмауэре мы описываем, какие соединения и по каким критериям следует разрешить. Если же пакет не соответствует ни одному правилу, то мы запрещаем такое соединение.
После того, как соединение было установлено — оно переходит в состояние установлено (established), при этом специальный механизм ядра Connection Tracker отслеживает все проходящие пакеты и сопоставляет их соединениям, поэтому мы можем спокойно оперировать именно состоянием соединения, не задумываясь над техническими тонкостями работы.
Нужно ли каждый раз отслеживать пакеты уже установленного соединения вновь и вновь гоняя их по цепочке правил? Конечно же нет, если мы одобрили соединение, то в последующем можем и должны одобрять все его пакеты автоматически, это снижает нагрузку на устройство и позволяет использовать различные приемы, вроде Port Knocking или противодействия перебору паролей.
Очень часто одни соединения, будучи установленными, создают другие, которые называются связанными (related), как пример можно привести хорошо известные FTP или PPTP, которые имеют управляющее соединение и соединение(я) для передачи данных. Они могут использовать динамические порты и поэтому их также следует автоматически разрешать, если мы разрешили основное соединение.
Поэтому в любом корректно настроенном брандмауэре самым первым правилом должно находиться разрешающее установленные и связанные соединения, а только после него мы уже должны анализировать новые подключения.
В роутерах Mikrotik существует еще один тип соединения — неотслеживаемое (untracked), такие соединения не отслеживаются Connection Tracker, что позволяет существенно снизить нагрузку на устройство. Для чего это может быть нужно? Допустим, в фильтруемом вами трафике есть значительная доля принадлежащая доверенным узлам, для которых можно четко прописать критерии, в этом случае можно пометить их неотслеживаемыми и добавить их одобрение в самое первое правило, к уже установленным и связанным.
Таким образом, одним единственным правилом мы будем сразу пропускать подавляющую долю трафика, а к затратным операциям анализа будут доходить только новые пакеты.
Но тут самое время вспомнить еще про одно состояние соединения — недействительное (invalid), это пакеты не являющиеся новыми, но не принадлежащие никакому установленному соединению, такие пакеты могут использоваться для атак и поэтому их следует блокировать в первую очередь, сразу после того, как мы одобрили установленные и связанные соединения и до того, как приступили к анализу новых пакетов.
Ну и завершающим правилом в цепочке должно стоять запрещающее, отсекающее все соединения, которые не попали под разрешающие правила и не являются уже установленными или связанными с ними.
Конфигурация брандмауэра по умолчанию
Прежде всего рассмотрим конфигурацию, предлагаемую производителем по умолчанию. Многие считают ее наиболее оптимальной и безопасной, но это не так, конфигурация по умолчанию направлена на универсальность и совместимость с различными пользовательскими сценариями, не позволяя ему наделать грубых ошибок, которые могут фатально сказаться на безопасности.
Все правила сгруппированы в две цепочки: input — для входящего трафика самого роутера и forward — для транзитного, между интерфейсами роутера. Сразу напомним, что у роутеров Mikrtoik нет жестко заданных «внешних» и «внутренних» интерфейсов, и вообще все эти понятия находятся исключительно у нас в голове, согласно логическому плану сети.
В конфигурации по умолчанию также присутствует два списка интерфейсов: WAN — куда включен порт, настроенный как внешний, обычно ether1 и LAN, в состав которого входит мост, объединяющий оставшиеся порты. и эти списки активно применяются в правилах.
Самих правил немного, всего 11 штук: 5 для input и 6 для forward.
Рассмотрим их подробнее. Правило с нулевым номером в расчет не берем, это пустышка для вывода счетчиков Fasttrack. Начнем с первых двух, это классическая связка, о которой мы говорили выше: разрешаем established, related и untracked для всех входящих соединений, без привязки к интерфейсам. Затем запрещаем invalid, вполне очевидно, что далее пройдут только пакеты соединений в состоянии new.
Третье правило разрешает входящий ICMP, у многих администраторов с ним напряженные отношения, часто его блокируют полностью, чтобы устройство не пинговалось, но так делать не нужно, протокол ICMP важен для нормальной работы сети. Либо фильтровать нужные его типы выборочно, что выходит за рамки данной статьи.
Следующее правило весьма специфично, оно разрешает входящие на петлевой интерфейс, точнее адрес 127.0.0.1, поскольку интерфейс петли явно в RouterOS не доступен, а также снабжено комментарием, что это для CAPsMAN. Его смысл станет понятен чуть ниже.
И завершает цепочку input блокирующее правило:
Которое блокирует входящие подключения для всех, кроме интерфейса LAN, а так как локальная петля туда не входит, то выше потребовалось отдельное правило.
Как видим конфигурация слегка избыточна, но при этом универсальна. А блокировка входящих по такой широкой маске — все, кроме локальной сети — позволяет сохранить должный уровень безопасности, даже если пользователь подключит другие внешние сети, скажем VPN.
А где же здесь размещать свои собственные правила? А вот здесь:
Теперь о цепочке forward, самыми первыми здесь теперь добавлены два правила, разрешающие транзит соединений, подпадающих под действие политик IPsec. Это связано с тем, что IPsec сегодня применяется все чаще, но правильно настроить правила для него умеют не все пользователи. Поэтому появились эти правила, обеспечивающие гарантированное прохождение любых соединений, использующих IPsec через роутер в любом направлении.
Затем идет правило, включающее Fasttrack для всех установленных и связанных соединений. Подробнее про Fasttrack мы писали в нашей статье:
Если коротко, то Fasttrack значительно снижает нагрузку на оборудование, но фактически пускает трафик в обход брандмауэра. Но так как фильтровать established и related нам не надо, то почему бы и не пустить их коротким путем?
Далее та же самая классика: разрешаем established, related и untracked, запрещаем invalid. Для всех направлений без разбора.
Ну и, наконец, запрещающее правило, оно тоже интересно:
Оно запрещает транзит только новым соединениям, только с внешнего списка интерфейсов, кроме соединений прошедших через DNAT. А так как DNAT обычно используется для проброса портов, то таким образом мы избегаем необходимости создавать для них разрешающие правила.
Да, опять очень и очень общие критерии, но в состоянии абсолютной неопределенности возможных конфигураций это, пожалуй, лучшее решение. Особенно если роутер будет использоваться вместе с UPnP, где сетевые приложения могут самостоятельно пробрасывать произвольные порты.
Поэтому мы еще раз повторимся, что конфигурация по умолчанию не является самой оптимальной или самой безопасной, но она наиболее универсальна, одновременно закрывая самые разные сценарии использования роутера.
Куда добавлять собственные правила? Да вот сюда:
Стоит ли оставлять и использовать конфигурацию по умолчанию? Да, если вы еще не уверены в собственных силах, плохо понимаете работу межсетевого экрана или вам нужно просто быстро настроить роутер для типовых задач.
Собственная конфигурация брандмауэра
В среде опытных пользователей Mikrotik принято сбрасывать устройство и настраивать конфигурацию с нуля. Для этих целей мы используем следующую конфигурацию брандмауэра, она во многом повторяет стандартную, но имеет ряд отличий. В плане именования интерфейсов мы также будем использовать листы WAN и LAN, с таким же набором интерфейсов.
При построении данного набора правил мы исходили из соображений, что администратор представляет как устроена его сеть, каким службам нужен доступ извне, какие сети являются внешними, а какие внутренними. При этом всеми силами старались избегать широких критериев в правилах, так как «проходной двор», даже вроде-бы в довольно безопасных вещах, таких как IPsec или DNAT может иногда сыграть злую шутку. Все мы помним, что если на стене висит ружье, то оно обязательно выстрелит.
Правил в нашем варианте меньше, всего 9, из них 4 для input и 5 для forward.
Набор правил для input приведем сразу и целиком, здесь тот же самый классический набор, но за одним исключением: мы знаем, какие сети являются внешними и фильтруем только подключения из них. Это упрощает конфигурацию и снижает нагрузку. При этом в каждом правиле мы четко указываем список входящих интерфейсов.
Мы точно также разрешаем установленные и связанные, запрещаем invalid, разрешаем ICMP. Можно заметить, что у нас нет untracked, это сознательное решение, если мы будем использовать неотслеживаемые соединения — то всегда можем добавить этот параметр, но сделаем это осознанно. Собственные правила мы можем добавлять выше запрещающего весь остальной трафик с внешних интерфейсов.
Также следует отметить несколько иную политику блокировки остального трафика. Стандартная конфигурация подходит достаточно радикально, запрещая все, кроме LAN. Мы же используем более мягкий подход, и блокируем только внешние сети — WAN. Это позволяет сделать конфигурацию проще и не прописывать дополнительные правила для того же CAPsMAN, при этом мы помним, что администратор знает какие сети являются внутренними, а какие нет и контролирует актуальность списков.
Перейдем к forward, в нашей базовой конфигурации правил для IPsec нет, опять-таки осознанно, по причине их ненужной избыточности. Как появится IPsec — так и создадим правила, а просто так нечего им небо коптить.
А вот к Fasttrack у нас подход другой. В стандартной конфигурации он включен для всех established и related, вне зависимости от направления. Это здорово разгружает роутер, но со временем у вас неизбежно появятся туннели, VPN, прочие сети и Fasttrack будет там чаще мешать, чем помогать, порой приводя к неожиданным результатам. Поэтому четко указываем, что применяем коротки путь только для соединений из локальной сети наружу и извне в локальную сеть. Часто можно даже отойти от использования списков и просто указать интерфейсы.
Кстати, внимательный читатель может заметить, что комментарий стоит только у одного правила, первого. Это сделано специально. Для чего? Посмотрите на скриншот выше, там комментарий отделяет сразу два правила.
Ну и дальше все тоже самое. Разрешаем established и related, запрещаем invalid и обязательно указываем, что это именно для внешних сетей, ниже запрещаем все остальное, также для внешних интерфейсов.
Что касается DNAT, то мы не сторонники давать доступ в сеть самыми широкими мазками. Если появляется проброс — создаем отдельное правило под проброс. Может это и увеличивает количество работы, но дает более читаемую и безопасную конфигурацию брандмауэра, когда вы явно видите кому и что разрешено без изучения дополнительных разделов.
Но если вы используете роутер дома и самый широкий набор приложений пробрасывает порты при помощи UPnP, то последнее правило действительно будет удобнее заменить на:
Данный набор правил является базовым костяком нормально настроенного брандмауэра и должен присутствовать по умолчанию на любом устройстве. Уже потом он будет обрастать дополнительными правилами, но общий принцип построения защиты должен неукоснительно соблюдаться. Это позволит вам достичь высокого уровня безопасности при небольшой нагрузке на устройство.
Научиться настраивать MikroTik с нуля или систематизировать уже имеющиеся знания можно на углубленном курсе по администрированию MikroTik. Автор курса, сертифицированный тренер MikroTik Дмитрий Скоромнов, лично проверяет лабораторные работы и контролирует прогресс каждого своего студента. В три раза больше информации, чем в вендорской программе MTCNA, более 20 часов практики и доступ навсегда.
MikroTik.by
For every complex problem, there is a solution that is simple, neat, and wrong.
- Темы без ответов
- Активные темы
- Поиск
- Список форумовФорум по операционной системе MikroTik RouterOSОбщие вопросы
- Поиск
(РЕШЕНО) Дефолтные правила и DHCP
(РЕШЕНО) Дефолтные правила и DHCP
Сообщение wan » 30 окт 2018, 08:31
Доброго времени суток, Уважаемые!
Помогите понять, что я делаю не так. Или укажите направление движения.
Что имеем: небольшой оффис на 500+ персоналок и оборудования, микротик RB2011 в качестве маршрутизатора и файервола для всего этого хозяйства, стандартный, практически, конфиг подо-все это дело.
Как только включаю дефолтное правило на input и forward для invalid-пакетов, тут-же прекращают получать станции DHCP в сети. Сервер DHCP на домене крутится, микротик в dhcp не учавствует.
Ниже полный конфиг /ip firewall filter, помогите понять что не так.
Re: Дефолтные правила и DHCP
Сообщение Chupaka » 30 окт 2018, 09:28
Re: Дефолтные правила и DHCP
Сообщение wan » 30 окт 2018, 10:35
Re: Дефолтные правила и DHCP
Сообщение Chupaka » 30 окт 2018, 12:50
Re: Дефолтные правила и DHCP
Сообщение Sir_Prikol » 30 окт 2018, 12:56
Re: Дефолтные правила и DHCP
Сообщение Chupaka » 30 окт 2018, 13:02
И топологию, и топологию.
Если eth2 воткнут в обычный коммутатор с локалкой — то он по определению не может влиять на то, какими там широковещательными пакетами обмениваются устройства внутри локалки.
Re: Дефолтные правила и DHCP
Сообщение wan » 30 окт 2018, 13:16
не ну так-то да, я не все договариваю
вообще 3 здания в городе завязаные в сеть, правда сеть построена так, что . повбывав-бы (С)
извините за эмоции
сейчас добавил DHCP Relay и включил правила с invalid пакетами — вроде нормально работает
Вот полный конфиг устройства (таких 3 штуки, правила везде одинаковые)
по безопасности не понимаю малость, но вроде как не сильно «китайцы» беспокоят
в сетях разбираться начал совсем недавно именно на этой работе, все приходит «методом тыка» и чтением интернетов
Ну и здесь конечно очень приятно помогают
Re: Дефолтные правила и DHCP
Сообщение wan » 30 окт 2018, 13:25
Chupaka писал(а): ↑ 30 окт 2018, 13:02 И топологию, и топологию.
Если eth2 воткнут в обычный коммутатор с локалкой — то он по определению не может влиять на то, какими там широковещательными пакетами обмениваются устройства внутри локалки.
Re: Дефолтные правила и DHCP
Сообщение wan » 30 окт 2018, 13:42
Re: Дефолтные правила и DHCP
Сообщение Sir_Prikol » 30 окт 2018, 13:53
Re: Дефолтные правила и DHCP
Сообщение Chupaka » 30 окт 2018, 13:53
Ну и три здания завязаны в сеть не через Мелкотики, а с какой-то другой стороны? Тогда роутеры вообще никак на DHCP не должны влиять %)
PXE Boot всё равно по DHCP настройки получает, а на роутерах оно даже не настроено.
Re: Дефолтные правила и DHCP
Сообщение wan » 30 окт 2018, 13:55
Re: Дефолтные правила и DHCP
Сообщение wan » 30 окт 2018, 13:58
Chupaka писал(а): ↑ 30 окт 2018, 13:53 Ну и три здания завязаны в сеть не через Мелкотики, а с какой-то другой стороны? Тогда роутеры вообще никак на DHCP не должны влиять %)
PXE Boot всё равно по DHCP настройки получает, а на роутерах оно даже не настроено.
Re: Дефолтные правила и DHCP
Сообщение Chupaka » 30 окт 2018, 14:17
Так, на всякий случай ещё раз уточню: станции именно «не получают адрес», а не «не могут загрузиться после получения адреса»?
VPN L3, но и клиенты, и сервер находятся в одном здании/сегменте L2?
Re: Дефолтные правила и DHCP
Сообщение wan » 30 окт 2018, 14:21
Chupaka писал(а): ↑ 30 окт 2018, 14:17 Так, на всякий случай ещё раз уточню: станции именно «не получают адрес», а не «не могут загрузиться после получения адреса»?
VPN L3, но и клиенты, и сервер находятся в одном здании/сегменте L2?
ммм. скорее второе «не могут загрузиться после получения адреса», НО! Это как-то странно проявляется, я вижу что ЧТО-ТО получило этот адрес, т.е. на сервере он биндиться и становится «занятым», но без идентификатора
да, клиенты и сервер в одном сегменте L2
Re: Дефолтные правила и DHCP
Сообщение Sir_Prikol » 30 окт 2018, 14:35
Re: Дефолтные правила и DHCP
Сообщение Chupaka » 30 окт 2018, 14:39
Если у вас клиенты и сервер в разных подсетях — тогда да, пакеты будут, как минимум поначалу, идти через роутер.
Поставьте в правилах drop invalid параметр log=yes и гляньте, какие пакеты начинают дропаться при загрузке станции.
Что без идентификатора получается адрес — это нормально, тут ещё сетевая карта только базу получила для продолжения загрузки, а всё красиво становится, когда начала грузиться ОСь и получила адрес «полноценный». Вот до этого момента у вас почему-то, видимо, не доходит.
Как вариант — добавить правило forward для in-interface=Eth_LAN out-interface=Eth_LAN action=accept
Re: Дефолтные правила и DHCP
Сообщение Chupaka » 30 окт 2018, 14:42
Re: Дефолтные правила и DHCP
Сообщение wan » 30 окт 2018, 14:44
Re: Дефолтные правила и DHCP
Сообщение wan » 30 окт 2018, 17:43
извиняюсь за эмоции, но что-то х№%;»та какая-то
отключаю правила invalid — все работает как часы
включаю — ?%;№?%; полная
отключил правила, бесит
Re: Дефолтные правила и DHCP
Сообщение Sir_Prikol » 30 окт 2018, 18:09
Re: Дефолтные правила и DHCP
Сообщение wan » 30 окт 2018, 18:32
топология:
ВПН L3 общий
1здание (ВП) — МТ, 2 сети на одном порту — 192.168.38.0/24 и 192.168.98.0/24
2 (ДП) — МТ, 2 сети на одном порту — 192.168.95.0/24 и 192.168.195.0/24
3 (ДО) — МТ, 1 сеть 192.168.56.0/24
каждый сегмент = свой L2
МТ воткнуты портом ETHx_LAN_LOCAL в пачку комутаторов с рабочими станциями
МТ офисов связаны по L3 отдельными портами ETHx_LAN_WAN — сеть 172.16.0.0/29
все замаршрутизировано, все летает
кроме вышеупомянутого с правилами на invalid
уж куда проще сеть незнаю, глядя на другие Ваши посты с BGP и чемто еще, совершенно мне незнакомым, у меня просто кросс между двух компьютеров как в 90х для игры в doom2
Re: Дефолтные правила и DHCP
Сообщение Sir_Prikol » 30 окт 2018, 18:42
Re: Дефолтные правила и DHCP
Сообщение Sir_Prikol » 30 окт 2018, 18:44
Re: Дефолтные правила и DHCP
Сообщение Chupaka » 30 окт 2018, 19:00
wan писал(а): ↑ 30 окт 2018, 17:43 извиняюсь за эмоции, но что-то х№%;»та какая-то
отключаю правила invalid — все работает как часы
включаю — ?%;№?%; полная
Цепочка Input в Firewall Mikrotik
Содержание
В данной статье поговорим о цепочке input в firewall Mikrotik. Разберем зачем она нужна и научимся создавать новые правила.
Если нам необходимо защитить наш роутер от злоумышленников, например из интернета. Мы должны создавать правила в цепочке Input.
Эта цепочка также необходима для публикации различных сервисов RouterOS, например, во внешнюю сеть.
Давайте ознакомимся с правилами цепочки input, содержащимися в конфигурации firewall по умолчанию.
Для этого переходимо в раздел IP -> Firewall -> Filter Rules и с помощью фильтра в верхнем правом углу выбираем input. Таким образом мы отфильтруем только правила, принадлежащие этой цепочке.
Default конфигурация, которую мы сейчас видим, обычно присутствует в SOHO роутерах после первого включения. Если она отсутствует, то базовые правила для firewall можно просмотреть командой /system default-configuration print. Подробнее описано в статье https://mikrotik-training.ru/kb/1-firewall-v-mikrotik/
Здесь мы можем увидеть несколько правил. Самое главное среди них — последнее правило, запрещающее трафик к внутренним сервисам Mikrotik со всех интерфейсов, кроме локальной сети.
Напоминаем, что обозначение локальных интерфейсов, например LAN в данном случае, в Mikrotik RouterOS весьма условно. Настройка логических интерфейсов производится в разделе Interface -> Interface List
В этом разделе мы назначаем различные интерфейсы тому или иному логическому определению.
В данном случае имеется два логических определения – это LAN (Local Area Network) и WAN (Wide Area Network), которым сопоставляются интерфейсы bridge и ether1 соответственно.
01. Разбор цепочки “Input”
- Давайте вернемся к разделу IP -> Firewall -> Filter Rules и подробнее рассмотрим правила цепочки input
- Первым мы видим правило, связанное с состояниями пакетов, о которых мы поговорим в следующих роликах.
- Вторым идет правило, которое отсекает некорректные пакеты с внешнего интерфейса
- Далее идет разрешающее правило для ICMP протокола, который нужен для диагностики сетей
- Следующим идет правило, связанное с настройкой CAPsMAN
- Последнее правило защищает наш роутер с внешнего интерфейса.
Последнее правило, о котором мы говорили ранее, является самым главным и обладает тремя важными параметрами: chain=input – указывает на то, что относится к цепочке input; in-interface-list=!LAN — означает, что распространяет свое действие на все интерфейсы, кроме LAN; action=drop – говорит роутеру, что нужно сделать с пакетом, а именно отбросить.
02. Добавление разрешающих правил в цепочке “Input”
Если мы будем использовать наш роутер в качестве VPN-сервера, то нам понадобится публиковать порты наших VPN серверов в цепочке Input. И естественно, правило, связанное с запретом внешних соединений со всех интерфейсов кроме локальной сети будет нам этому мешать.
Для того, чтобы это исправить нам потребуется добавить в цепочку Input разрешающее правило. Например, к OpenVPN серверу.
По умолчанию OpenVPN сервер имеет порт 1194 по протоколу TCP.
Для создания правила в Winbox выбираем цепочку input, выбираем протокол TCP, а также Destination Port 1194.
Также мы можем указать с какого интерфейса будет разрешен доступ к нашему OpenVPN серверу. Это может быть конкретный интерфейс, тогда мы выбираем его в поле In. Interface, или же это может быть Interface List, в таком случае мы заполняем поле In. Interface List. Для примера, выберем In. Interface List – WAN.
В данном случае нам понадобится переместить наше правило выше, чем Input Drop.
03. Настройка доступа к роутеру для администратора
Если мы хотим открыть доступ для администрирования нашего роутера с какой-то удаленной площадки, то для этого можно сделать правило Input. Выбрать протокол TCP, параметр In. Interface List задать WAN и указать порты, связанные с управлением роутером, например SSH (порт 22) и Winbox (порт 8291).
Данное правило позволит управлять нашим роутером удаленно.
Поэтому, если мы хотим сделать безопасную настройку, то в наше правило нужно добавить Address List.
04. Добавление адрес-листа и настройка безопасного доступа
Более подробно об Address Lists мы поговорим в следующих видео.
В разделе IP -> Firewall -> Address Lists добавляем Address List, например admin, и в этот Address List добавляем IP-адреса, с которых мы будем подключаться.
Для примера мы указали адрес 1.1.1.1. В реальности же, вместо него мы должны указать IP-адрес, который находится на нашей удаленной площадке.
Нам осталось добавить этот Address List в существующее правило firewall. Для этого в поле Scr. Address List указываем, созданный нами лист admin.
В результате получится такое правило:
Теперь только с адреса, указанного в Address List, мы сможем подключаться к нашему роутеру.
MikroTips: обзор брандмауэра MikroTik для новичков
Новое видео для начинающих из серии #MikroTips посвящено брандмауэру (межсетевому экрану) — одной из важнейших функций маршрутизатора MikroТik. Речь пойдёт об основных понятиях, правилах по умолчанию, добавлении правил и настройке собственных.
Откройте WinBox. Загрузчик WinBox определит ваше устройство — например, Mesh-маршрутизатор Audience. Подключитесь к нему, нажав Connect.
Если это первое подключение, измените username (имя пользователя) — не admin, создайте надёжный пароль. Снова войдите в систему с новым именем и паролем. Удалите admin account (учётную запись администратора).
В левой колонке выбираем IP, затем Firewall. Перед вами окно брандмауэра. Первая вкладка называется Filter Rules (правила фильтрации). Здесь находятся все ваши правила брандмауэра.
Домашние роутеры производства MikroTik оснащены брандмауэром по умолчанию. Более продвинутые, профессиональные маршрутизаторы его не имеют. Пользователям таких устройств — помимо настройки IP-адреса и выполнения базовой конфигурации — необходимо также настроить собственный брандмауэр. Но в этом видео для новичков речь пойдёт о домашних маршрутизаторах, на которых установлен стандартный брандмауэр.
Зелёными галочками отмечены правила для принятия (потока данных). Они разрешают. Правила для отбрасывания — красными крестиками. Они запрещают. Существуют и другие виды доступных действий, но начинающим достаточно сконцентрироваться на правилах принятия и отбрасывания.
Первое, что нужно запомнить — список правил фильтрации брандмауэра организован в определённом порядке, который очень важен. Если список отсортирован, к примеру, по цепочке, адресам источника или получателя (либо номера цепочек переставлены), всегда необходимо возвращать исходный порядок нумерации.
Chain — следующая колонка в окне Filter Rules. Каждое правило при его создании следует поместить в категорию правил или группу правил (стандартные группы или цепочки, как они называются в маршрутизаторах MikroTik).
По умолчанию их три (но есть возможность создания собственных цепочек):
- Цепочка Input — обрабатывает пакеты (входящий трафик), поступающие на маршрутизатор через один из интерфейсов с IP-адресом источника, который является одним из адресов маршрутизатора. Пакеты, проходящие через маршрутизатор, в ущерб правилам цепочки Input не обрабатываются. Если вы хотите защитить свой маршрутизатор от злоумышленников в Интернете, то должны поместить правила в цепочку Input. Тоже самое относится к трафику из вашей LAN-сети. Иногда требуется защитить устройство от локальной сети, поскольку ни одна сеть не является полностью безопасной.
- Цепочка Output — обрабатывает пакеты (исходящий трафик), созданные маршрутизатором и покидающие его через один из интерфейсов. Пакеты, проходящие через маршрутизатор, в ущерб правилам цепочки Ouput не обрабатываются. Используется не так часто, поэтому в этой цепочке нет стандартных правил и правил по умолчанию.
- Цепочка Forward — обрабатывает пакеты, идущие через маршрутизатор. При просмотре пользователем веб-страниц весь трафик, идущий с ноутбука через роутер в сеть и из сети через роутер на ноутбук, обрабатывается цепочкой Forward. Если хотите что-то заблокировать, например, запретить пользователям своей сети доступ к определенному сайту, поместите эти правила в цепочку Forward.
В основном задействованы цепочки Input и Forward.
Для добавления собственного правила брандмауэра на вкладке Filter Rules нажмите кнопку + . Появится новое окно New Firewall Rule. На вкладке General (этого окна) в выпадающем списке строки Chain можно выбрать не только forward, input или output, но и написать своё название цепочки — например, custom.
Про группировку больших списков правил брандмауэра или назначение списков правил для определенного типа трафика поговорим в следующий раз.
Пройдёмся по правилам по умолчанию на вкладке Filter Rules. Первое — dummy rule to show fasttrack counters — фиктивное правило для подсчёта подключений в режиме fasttrack. Его можно игнорировать — оно ничего не делает и не блокирует. Следующее accept rule — правило для принятия потока данных по сетевым соединениям. Действует в отношении уже установленных, связанных и неотслеживаемых соединений. Далее, drop rule — правило для отбрасывания всех видов недействительных соединений, кроме пингов из всех сетей, чтобы можно было отлаживать свою сеть и пинговать устройство. Правило для CAPsMAN будет защищать устройство пользователя (локальную сеть) от угроз из Интернета. Отбрасывает трафик не из локальной сети. Данные правила обрабатывает цепочка Input.
Теперь перейдём к правилам цепочки Forward для трафика, проходящего через маршрутизатор. Разрешаем ipsec и запускаем fasttrack — режим, позволяющий маршрутизатору работать немного быстрее за счёт отключения некоторых функций, ненужных для большинства домашних пользователей. Тем не менее, когда требуется увеличить функциональность, следует отключить это правило и немного пожертвовать скоростью.
Добавим новое правило брандмауэра для разрешения доступа к домашнему маршрутизатору из Интернета, но только для собственного IP-адреса (это будет адрес офиса). Например, необходимо подключиться к домашнему роутеру со своего рабочего компьютера, IP-адрес которого известен. Не рекомендуется открывать полный доступ к интерфейсу управления откуда угодно, если это не собственная домашняя сеть пользователя. Обычно в первую очередь настраивается доступ к VPN (например, IPsec), чтобы сначала подключиться VPN-сервисам, и уже затем разрешается вход с помощью Winbox. Но в этом видео просто разберём, как добавить правило.
Нажимаем кнопку + . Появится новое окно New Firewall Rule. В строке Chain вкладки General нужно выбрать цепочку Input и разрешить определённый порт Winbox — в данном случае, 8291 . Узнать какой порт использует Winbox можно, зайдя на вкладку IP-services. В строке Protocol ставим TCP, а в Dst. Port (порт-адресат) — 8291. На вкладке General существуют и другие настройки. Например, доступно задать применение правила только к входящему трафику (из Интернета), хотя это не имеет значения, так как мы указываем IP-адрес источника. При необходимости вместо одного конкретного IP-адреса возможно написать IP-адрес сети-источника. На вкладке Action ставим accept (принять). Входящий трафик разрешён.
Что будет, если это правило добавлено в конце. Как упоминалось ранее, порядок правил чрезвычайно важен. Здесь видно, что последнее из правил цепочки Input отбрасывает всё, что не поступает из локальной сети. В связи с этим стоит переместить данное правило выше и поставить над строкой drop all not coming from lan. Только сейчас оно будет действительно, потому что все правила проверяются по порядку. Этого правила достаточно, чтобы разрешить доступ к маршрутизатору пользователя из локальной сети.
Бывают случаи, когда необходимо запретить определённому IP-адресу подключаться к маршрутизатору пользователя. Для этого откроем предыдущее правило и в колонке справа нажмём Copy (скопировать). Добавим новое правило. В строке Src. Address вкладки General укажем IP-адрес пользователя в локальной сети, которому запрещено подключаться к маршрутизатору. На вкладке Action выбираем drop.
Прежде чем добавлять какие-либо правила для отбрасывания (или выполнять важные изменения конфигурации на удалённом устройстве), следует включить безопасный режим с помощью кнопки Safe Mode (в верхнем левом углу окна). Этот режим запускает отслеживание действий пользователя на маршрутизаторе. Если он испортил свою конфигурацию и потерял доступ к маршрутизатору, причина, которая вызвала разрыв соединения, будет определена; а последнее действие пользователя отменится. Поэтому старайтесь использовать безопасный режим чаще.
В правой колонке вкладки Action нажимаем ОК и закрываем предыдущее правило.
Нажатие кнопки Copy приводит к тому, что это правило для отбрасывания появится рядом с тем, которое было открыто ранее. Активное соединение означает, что всё сделано верно и можно снова закрыть безопасный режим.
Таким способом вы разрешаете и отбрасываете трафик. Также не забывайте о порядке, о цепочке, используйте VPN и разрешайте только IPsec для вашего устройства. Уже затем подключайте и управляйте им. VPN всегда безопаснее, даже если локальная сеть проверена.
Как заблокировать веб-страницу? Некоторые пользователи применяют протоколы 7-го уровня. Это очень ресурсоёмко, фактически анализируется содержимое пакетов. Поэтому невозможно, если имеем дело с зашифрованным трафиком. Для блокировки веб-страницы на базе протокола HTTPS (его используют все веб-страницы), необходимо смотреть SSL-сертификат данной страницы. Теперь мы выполняем более продвинутую операцию и больше не можем использовать режим Fasttrack. Отключим это правило.
Добавим новое правило в цепочке Forward. Будем блокировать переход на сайт MikroTik. Перезагрузим страницу производителя — проверим, что она работает. Возвращаемся в Winbox.
В строке In. Interface List вкладки General (окно New Firewall Rule) выбираем LAN. В строке TLS Host вкладки Advanced вводим часть доменного имени сайта, который хотим блокировать. В нашем случае набираем *mikrotik* для поиска любых доменных имён со словом mikrotik. Далее проверяем SSL-сертификаты веб-страниц. Они выданы для этих доменных имён (DNS names). Возвращаемся к своему правилу брандмауэра. В строке Action вкладки Action ставим drop и нажимаем ОК. Новое правило брандмауэра добавлено. Поднимаем его вверх и ставим перед drop all rules. Проверяем — страница не загружается.
Вернёмся к окну Firewall. На вкладке Filter Rules видно увеличение числа пакетов (Packets). Это означает, что правило брандмауэра блокирует доступ к указанной веб-странице. Правило можно отключить. Для этого выделим строку правила и нажмём на красный крестик. Сайт MikroTik снова будет загружаться.
Обзор основных параметров вкладки Filter Rules завершён.
Главные моменты, о которых следует помнить:
- правила обрабатываются по порядку, поэтому всегда сортируйте окно Filter Rules по номеру правила (для запуска режима сортировки нажмите кнопку # , расположена слева над списком правил);
- о цепочках Input (для входящего трафика) и Forward (для потока данных, проходящих через маршрутизатор).
Придерживаясь этих основ, вы быстро создадите свой брандмауэр.
- Фильтрация пакетов и настройка брандмауэра
- Защита домашнего роутера
- Построение первого брандмауэра
- Расширенные настройки брандмауэра
Хороший брандмауэр является одним из наиболее важных аспектов для всех устройств, подключённых к Интернету, включая маршрутизаторы MikroTik.
Полное видео ниже.