A forgalomszűrés konfigurálása mikrotikon
A tűzfal beállítása előtt
Ebben és a cikk következő részében a következő hálózati topológiát használjuk:
- WAN - 172.30.10.26/24, alapértelmezett átjáró 172.30.10.1
- DMZ - 10.10.10.1./24
- LAN - 192.168.88.1/24
- Winbox - 8291 TCP port;
- Ssh - TCP port 22;
- www - TCP port 80;
1. lépés: Felesleges szolgáltatások letiltása
Nyissa meg az IP / Services menüt és használja a Disable (Letiltás) gombot a szükségtelen szolgáltatások letiltásához.
Ha az ssh protokollt használja a MikroTik használatához, érdemes átállítani a szabványos portot egy másikra, például 65522-re. Ehhez kattintson duplán az ssh sorra, és módosítsa a portot a megnyitott ablakban:
![A forgalom szűrése mikrotikon (forgalom) A forgalomszűrés konfigurálása mikrotikon](https://images-on-off.com/images/174/nastroykafiltratsiitrafikanamikrotik-a5812a3c.jpg)
A kiválasztás megerősítéséhez kattintson az OK gombra.
Megváltoztathatja a winbox és a www portokat is. A jelszó kiválasztásával azonban a 8291 (winbox) portot nem sikerült megtámadni.
Természetesen jobb, ha letiltja a webes felületet, de ha valamilyen oknál fogva nem tudja használni a winbox konfigurálását, jó döntés lesz, hogy csak a helyi hálózatról férhessenek hozzá az útválasztó webes felületéhez.
Ehhez kattintson duplán a vonalra a www-vel és töltse ki a rendelkezésre álló:
Nyomja meg az OK gombot a kiválasztás megerősítéséhez.
2. lépés: Kapcsolja ki a szomszédokat és a mac kiszolgálót a külső interfészeken
Menjen az ip / szomszédok menüjébe, menjen a Discovery Interfaces fülre, és kapcsolja ki mindent, kivéve a LAN interfészt, a Letiltás gombra kattintva.
![A forgalom szűrése mikrotikon (mikrotik) A forgalomszűrés konfigurálása mikrotikon](https://images-on-off.com/images/174/nastroykafiltratsiitrafikanamikrotik-f3dbcf4e.jpg)
Ezután menjen az Eszközök / MAC kiszolgáló menübe, és adja hozzá a LAN interfészt a Telnet interfészekhez és a WinBox interfészek lapokhoz, törölje, ha van más interfész, és letiltja a "* all" interfészt
![A forgalom szűrése mikrotikon (mikrotik tűzfal-konfiguráció) A forgalomszűrés konfigurálása mikrotikon](https://images-on-off.com/images/174/nastroykafiltratsiitrafikanamikrotik-62f853c4.jpg)
Ez nem teszi lehetővé az útválasztóhoz való kapcsolódást kívülről, a MAC-Telnet használatával
Ha valaki úgy gondolja, hogy ez egy felesleges biztonsági intézkedés, az egyik telepített útválasztó látja a WAN portokat.
![A forgalom szűrése mikrotikon (forgalom) A forgalomszűrés konfigurálása mikrotikon](https://images-on-off.com/images/174/nastroykafiltratsiitrafikanamikrotik-e0d56852.jpg)
Ebben az esetben kettő sikerült bejelentkezni a mac-telnetbe, és hozzáférést kapott a menedzsmenthez.
3. lépés: Felhasználó és jelszó
Most cserélje ki az alapértelmezett felhasználót, és állítsa be a jelszavát.
Menjen a Rendszer / felhasználók menübe.
![A forgalom szűrése mikrotikon (mikrotik tűzfal-konfiguráció) A forgalomszűrés konfigurálása mikrotikon](https://images-on-off.com/images/174/nastroykafiltratsiitrafikanamikrotik-f2941d2a.jpg)
Hozzon létre egy új felhasználót rendszergazdai jogosultságokkal.
![A forgalom szűrése mikrotikon (mikrotik tűzfal-konfiguráció) A forgalomszűrés konfigurálása mikrotikon](https://images-on-off.com/images/174/nastroykafiltratsiitrafikanamikrotik-73033d16.jpg)
Ezután zárja be a Winbox programot, indítsa el újra és menjen az új felhasználó alá, nyissa meg a Rendszer / felhasználók menüt, és tiltsa le a rendszergazdai fiókot.
![A forgalom szűrésének beállítása mikrotikon (kattintson duplán a vonalra) A forgalomszűrés konfigurálása mikrotikon](https://images-on-off.com/images/174/nastroykafiltratsiitrafikanamikrotik-b92901f2.jpg)
Ez az előkészítő művelet teljesnek tekinthető. Most menj a tűzfalbeállításhoz.
A tűzfal beállítása
- Az útválasztó felé vezető forgalom a tűzfal bemenete láncába esik;
- A router által generált forgalom a tűzfal kimeneti láncába esik;
- A forgalomirányító útja a forgalomirányító láncba kerül;
- Négy csatlakozási állapot van: új, megalapozott, kapcsolódó, érvénytelen.
Vagyis a csatlakozási állapotok és a láncok alapján az útválasztó védelmének általános szabályai a következőképpen fogalmazhatók meg:
- Csak a beviteli láncon dolgozunk;
- Hiányzik a kapcsolat a megállapított és a kapcsolódó feltételekkel, ahogyan azt már megállapítottuk;
- Hiányzik az ICMP protokoll;
- Mind a WAN, mind a DMZ nem megbízható hálózatok;
- Engedélyezzük, hogy a forgalom átkerüljön az útválasztóba. A forgalom hátralevő része blokkolva van.
Most határozzuk meg a nem megbízható felületek engedélyezett forgalmát. Tehát engedjük meg:
- TCP port 8291 - winbox, távirányító kívülről;
- 65522 ssh a módosított porton;
- Tegyük fel, hogy később konfiguráljuk a VPN-kiszolgálót PPTP-n keresztül, és engedélyezzük az 1723-as portot a TCP-n keresztül.