Mainos / Advertisement:

RouterOS Firewall

Kohteesta Taisto
Loikkaa: valikkoon, hakuun
Muut kielet:
English • ‎suomi

Palomuurilla toteutetaan pakettien suodatuksia ja siten tietoturva toimtinoja, jolla estetään tai sallitaan pääsy verkkoon / reitittimeen. NATin kanssa tämä auttaa estää luvattomat yhteydet ulkoverkosta sisäverkkoon.

RouterOS palomuuri noudattaa pääsääntöisesti Linuxin logiikkaa Iptablesissa.

Palomuuri asetukset ovat RouterOS - käyttöjärjestelmässä:

 /ip firewall

Filter Rules

Filter Rulen avulla voidaan rajoittaa pakettien kulkemista reitittimeen tai reitittimen läpi. Huomaathan että RouterOS käyttöjärjestelmässä palomuuri säännöt luotaan ylhäältä alaspäin.

Peruspalomuuri

Tässä esimerkissämme luomme turvallisen RouterOS peruspalomuurin joka käy jokaiseen tarpeeseen.

Luodaan aluksi salliva palomuuri sääntö, joka sallii aina yhdistämisen reitittimeen mistä tahansa verkosta ja millä tahansa protokolalla. Tämä kannattaa tehdä siksi ettei lukitse itseäsi reitittimen ulkopuolelle.

 /ip firewall filter add chain=input action=accept

Luodaan toinen palomuuri sääntö joka sallii liikennöinnnin reitittimen läpi. Yhteys pitää kuitenkin olla luotettava.

 /ip firewall filter add chain=forward  connection-state=established,related action=accept 

Estetään epämääräiset liikennöinti reitittimen läpi.

 /ip firewall filter add chain=forward connection-state=invalid action=drop

Seuraavaksi sallitaan ICMP prokolola, eli ns. ping protokola. Tämä mahdollistaa että reitittimeen voidaan pingata toisella päätelaitteella, joka on verkkoyhteydessä Mikrotikin kanssa.

 /ip firewall filter add chain=input protocol=icmp action=accept

Seuraavaksi luodaan sääntö joka estää ether1 (WAN) portista sisällepäin tulevan liikenteen.

 /ip firewall filter add chain=input in-interface=ether1 action=drop

Nyt on valmiina peruspalomuuriasetukset. Palomuuri toimii ylhäältä alaspäin (0 ->) listan mukaisesti. Oletuksena on aina sallitaan jos ei toisin mainita.

 /ip firewall filter print

Estä hallintaporteihin pääsy ulkoverkosta

Estetään ulkoverkosta pääsy hallintaportteihin 21, 22, 23, 80 ulkoverkosta. Tämä suojaa Mikrotikkiä ettei ulkopuolinen pääse laitteeseen käsiksi helpolla.

 /ip firewall filter add chain=input protocol=tcp dst-port=21,22,23,80 in-interface=ether1 action=drop

NAT

NAT:ista meillä on oma artikkeli: RouterOS NAT

Mangle

Mangle:n avulla voit merkata paketit erityisellä merkillä. Voit lisätä merkin pakettiin ja käyttää esimerkiksi Queue:ssa, NAT:issa ja reitittämisessä. Mangle:n merkit ovat vain nykyisen reitittimen merkkejä, eli niitä ei lähetetä verkossa eteenpäin.

Marking Packets

Merkataan esimerkiksi interface:n ether1-gateway:n portissa 80 menevät paketit.

 /ip firewall mangle add chain=forward protocol=tcp dst-port=80 in-interface=ether1-gateway action=mark-packet new-packet-mark=HTTP

Aiheeseen liittyvää

Lähteet

http://wiki.mikrotik.com/wiki/Manual:IP/Firewall/Filter http://wiki.mikrotik.com/wiki/Manual:IP/Firewall/Mangle

Mainos / Advertisement: