A forgalomszűrés konfigurálása mikrotikon

A tűzfal beállítása előtt

Ebben és a cikk következő részében a következő hálózati topológiát használjuk:

• WAN - 172.30.10.26/24, alapértelmezett átjáró 172.30.10.1
• DMZ - 10.10.10.1./24
• LAN - 192.168.88.1/24

• Winbox - 8291 TCP port;
• Ssh - TCP port 22;
• www - TCP port 80;

1. lépés: Felesleges szolgáltatások letiltása

Nyissa meg az IP / Services menüt és használja a Disable (Letiltás) gombot a szükségtelen szolgáltatások letiltásához.

Ha az ssh protokollt használja a MikroTik használatához, érdemes átállítani a szabványos portot egy másikra, például 65522-re. Ehhez kattintson duplán az ssh sorra, és módosítsa a portot a megnyitott ablakban:

A kiválasztás megerősítéséhez kattintson az OK gombra.

Megváltoztathatja a winbox és a www portokat is. A jelszó kiválasztásával azonban a 8291 (winbox) portot nem sikerült megtámadni.

Természetesen jobb, ha letiltja a webes felületet, de ha valamilyen oknál fogva nem tudja használni a winbox konfigurálását, jó döntés lesz, hogy csak a helyi hálózatról férhessenek hozzá az útválasztó webes felületéhez.

Ehhez kattintson duplán a vonalra a www-vel és töltse ki a rendelkezésre álló:

Nyomja meg az OK gombot a kiválasztás megerősítéséhez.

2. lépés: Kapcsolja ki a szomszédokat és a mac kiszolgálót a külső interfészeken

Menjen az ip / szomszédok menüjébe, menjen a Discovery Interfaces fülre, és kapcsolja ki mindent, kivéve a LAN interfészt, a Letiltás gombra kattintva.

Ezután menjen az Eszközök / MAC kiszolgáló menübe, és adja hozzá a LAN interfészt a Telnet interfészekhez és a WinBox interfészek lapokhoz, törölje, ha van más interfész, és letiltja a "* all" interfészt

Ez nem teszi lehetővé az útválasztóhoz való kapcsolódást kívülről, a MAC-Telnet használatával

Ha valaki úgy gondolja, hogy ez egy felesleges biztonsági intézkedés, az egyik telepített útválasztó látja a WAN portokat.

Ebben az esetben kettő sikerült bejelentkezni a mac-telnetbe, és hozzáférést kapott a menedzsmenthez.

3. lépés: Felhasználó és jelszó

Most cserélje ki az alapértelmezett felhasználót, és állítsa be a jelszavát.

Menjen a Rendszer / felhasználók menübe.

Hozzon létre egy új felhasználót rendszergazdai jogosultságokkal.

Ezután zárja be a Winbox programot, indítsa el újra és menjen az új felhasználó alá, nyissa meg a Rendszer / felhasználók menüt, és tiltsa le a rendszergazdai fiókot.

Ez az előkészítő művelet teljesnek tekinthető. Most menj a tűzfalbeállításhoz.

A tűzfal beállítása

1. Az útválasztó felé vezető forgalom a tűzfal bemenete láncába esik;
2. A router által generált forgalom a tűzfal kimeneti láncába esik;
3. A forgalomirányító útja a forgalomirányító láncba kerül;
4. Négy csatlakozási állapot van: új, megalapozott, kapcsolódó, érvénytelen.

Vagyis a csatlakozási állapotok és a láncok alapján az útválasztó védelmének általános szabályai a következőképpen fogalmazhatók meg:

1. Csak a beviteli láncon dolgozunk;
2. Hiányzik a kapcsolat a megállapított és a kapcsolódó feltételekkel, ahogyan azt már megállapítottuk;
3. Hiányzik az ICMP protokoll;
4. Mind a WAN, mind a DMZ nem megbízható hálózatok;
5. Engedélyezzük, hogy a forgalom átkerüljön az útválasztóba. A forgalom hátralevő része blokkolva van.

Most határozzuk meg a nem megbízható felületek engedélyezett forgalmát. Tehát engedjük meg:

1. TCP port 8291 - winbox, távirányító kívülről;
2. 65522 ssh a módosított porton;
3. Tegyük fel, hogy később konfiguráljuk a VPN-kiszolgálót PPTP-n keresztül, és engedélyezzük az 1723-as portot a TCP-n keresztül.