Я прохожу курс по микротик. И помечаю для себя теоретические и практические моменты.
По окончанию курса я планирую создать чек лист включающий все темы. И пробежаться по всем пунктам сделав настройки с нуля. Возможно кому то это будет полезным.
Перебор паролей на микротик
Когда я только приобрел роутер, то в консоли постоянно видил попытки паролей. Восновном были попытки подключиться по винбокс и по телнет.
Сначала я пробовал в файрволе блокировать сети, с которых идёт перебор. Но это оказалось бесполезным занятием.
Потом я дошел до изучения сервисов. В итоге я отключил все сервисы кроме ssh и winbox. У у служб изменил стандартные порты. После этого в логах не стало попыток подбора.
Сейчас я изучаю файрвол. И как мне кажется самое разумное решение закрыть весь трафик в цепочке input за исключением портов, которые я выделил для управления роутером.
Работа с файрволом микротик
В файрволе можно настраивать правила для нескольких цепочек трафик:
- Input — трафик направленный к роутеру. Например когда мы пингуем роутер с комьютера.
- Output — трафик исходящий от роутера. Например когда мы пингуем какой то ресурс с роутера.
- forward — трафик проходящий через роутер. Это наиболее типичный трафик для большинства роутеров, например когда мы выходим в интернет через роутер.
Для каждой из трез цепочек правила настраиваются отдельно.
Правила обрабатываются в одной из трех цепочек по порядку сверху вниз.
Если трафик направлен к роутеру, то к нему будут применены только правила для цепочки input.
Т.е. если у нас в файрволе 20 правил и нет ни одного правила для цепочки input, то трафик направленный к роутеру не будет проходить через файрвол.
В нужной цепочке трафик обрабатываются по порядку от верхнего правила к нижнему
Действия с трафиком могут быть дух типов:
- Терменирующие — после таких действий трафик больше не выполняется в текущей цепочке
- Нетерминирующие — после таких действий трафик переходит на следующую цепочку
Пример:допустим мы хотим пинговать ip 8.8.8.8 с роутера. Трафик будет проходить по двум цепочкам.
- input — пакеты, которые отправляются от роутера к 8.8.8.8
- output — ответы роутеру от 8.8.8.8
На картинке 4 правила:
0. Действие passthrough для цепочки input для протокола icmp. Это нетерминирующее правило, это просто счетчик для icmp-пакетов. Проходя через него трафик переходит на следующее правило для цепочки input.
1. Действие accept для цепочки input, для протокола icmp. Это правило разрешает прохождения пингов. После применения этого правила трафик перестает обрабатываться в цепочке input.
2. Это правило также как и первое выполняет роль счетчика для icmp трафика. И как мы видим на картинке, показания счетчиков этого правила равны 0. Это просиходит потому, что выше было применено терминирующее правило и трафик больше не проходит через цепочку input.
Если вы сомневаетесь как будет работать правило, сначала сделайте правила для нужных цепочек с действием passthrough. Запустите нужный трафик и посмотрите на показания счетчиков.
Рекомендации по цепочкам микротик
Лучше располгать по порядку правила для каждой цепочки. Например сначала правила для цепочки input, потом правила для цепочки forward. Это никак не повляет на работу файрвола, он в любом случае будет обрабатывать пакеты в одной цепочке по порядку сверху вниз. Но так проще администрировать.
Давать правилам комментарии, что это и зачем. Если откроете через несколько лет, можете забыть для чего добавляли правило.
Настройка адресных листов
В файрволе микротик можно устанавливать правила не только для конкретного адреса, но и для списка адресов.
К примеру в отделе есть два системных администратора. И нужно чтобы роутер пускал только с определенных компьютеров с их рабочих и домашних. Для этого мы создаем список адресов и разрешаем доступ только с этого списка.
Либо мы хотим запретить доступ к определенным сайтам. Мы создаем список сайтов и применяем блокирующее правило к этом списку.