Mainos / Advertisement:

Ero sivun ”RouterOS Firewall” versioiden välillä

Kohteesta Taisto
Siirry navigaatioon Siirry hakuun
(Tämä versio merkittiin käännettäväksi)
 
(36 välissä olevaa versiota toisen käyttäjän tekemänä ei näytetä)
Rivi 1: Rivi 1:
Jos haluaa päästä käsiksi omaan kotikoneeseen ulkoverkosta, tehdään Mikrotikissä kyseinen toimenpide.
 
  
Mennään IP -> Firewall -> NAT -> New rule
+
<languages/>
 +
<translate>
 +
<!--T:17-->
 +
Palomuurilla toteutetaan pakettien suodatuksia ja siten tietoturva toimtinoja, jolla estetään tai sallitaan pääsy verkkoon / reitittimeen. NATin kanssa tämä auttaa estää luvattomat yhteydet ulkoverkosta sisäverkkoon.
  
[[Tiedosto:winboxssh.jpg]]
+
<!--T:18-->
[[Tiedosto:winboxssh2.jpg]]
+
RouterOS palomuuri noudattaa pääsääntöisesti Linuxin logiikkaa Iptablesissa.
  
 +
<!--T:19-->
 +
Palomuuri asetukset ovat RouterOS - käyttöjärjestelmässä:
  
SSH yhteyden ottaessani ''minunulkoverkonip'':1234 ohjautuu sisäverkon palvelimelle porttiin 22.
+
  <!--T:20-->
 +
/ip firewall
 +
 
 +
<!--T:21-->
 +
<gallery>
 +
File:RouterOS_firewall_1.png
 +
</gallery>
 +
 
 +
== Filter Rules == <!--T:22-->
 +
 
 +
<!--T:23-->
 +
Filter Rulen avulla voidaan rajoittaa pakettien kulkemista reitittimeen tai reitittimen läpi. Huomaathan että RouterOS käyttöjärjestelmässä palomuuri säännöt luotaan ylhäältä alaspäin.
 +
 
 +
=== Peruspalomuuri === <!--T:24-->
 +
 
 +
<!--T:25-->
 +
Tässä esimerkissämme luomme turvallisen RouterOS peruspalomuurin joka käy jokaiseen tarpeeseen.
 +
 
 +
<!--T:26-->
 +
Luodaan aluksi salliva palomuuri sääntö, joka sallii aina yhdistämisen reitittimeen mistä tahansa verkosta ja millä tahansa protokolalla. Tämä kannattaa tehdä siksi ettei lukitse itseäsi reitittimen ulkopuolelle.
 +
 
 +
  <!--T:27-->
 +
/ip firewall filter add chain=input action=accept
 +
 
 +
<!--T:28-->
 +
<gallery>
 +
RouterOS_firewall_filter_rule_input_example_1.png
 +
RouterOS_firewall_filter_rule_input_example_2.png
 +
</gallery>
 +
 
 +
<!--T:29-->
 +
Luodaan toinen palomuuri sääntö joka sallii liikennöinnnin reitittimen läpi. Yhteys pitää kuitenkin olla luotettava.
 +
 
 +
  <!--T:30-->
 +
/ip firewall filter add chain=forward  connection-state=established,related action=accept
 +
 
 +
<!--T:31-->
 +
<gallery>
 +
RouterOS_firewall_filter_rule_input_example_3.png
 +
RouterOS_firewall_filter_rule_input_example_2.png
 +
</gallery>
 +
 
 +
<!--T:32-->
 +
Estetään epämääräiset liikennöinti reitittimen läpi.
 +
 
 +
  <!--T:33-->
 +
/ip firewall filter add chain=forward connection-state=invalid action=drop
 +
 
 +
<!--T:34-->
 +
<gallery>
 +
RouterOS_firewall_filter_rule_input_example_7.png
 +
RouterOS_firewall_filter_rule_input_example_6.png
 +
</gallery>
 +
 
 +
<!--T:35-->
 +
Seuraavaksi sallitaan ICMP prokolola, eli ns. ping protokola. Tämä mahdollistaa että reitittimeen voidaan pingata toisella päätelaitteella, joka on verkkoyhteydessä Mikrotikin kanssa.
 +
 
 +
  <!--T:36-->
 +
/ip firewall filter add chain=input protocol=icmp action=accept
 +
 
 +
<!--T:37-->
 +
<gallery>
 +
RouterOS_firewall_filter_rule_input_example_4.png
 +
RouterOS_firewall_filter_rule_input_example_2.png
 +
</gallery>
 +
 
 +
<!--T:38-->
 +
Seuraavaksi luodaan sääntö joka estää ether1 (WAN) portista sisällepäin tulevan liikenteen.
 +
 
 +
  <!--T:39-->
 +
/ip firewall filter add chain=input in-interface=ether1 action=drop
 +
 
 +
<!--T:40-->
 +
<gallery>
 +
RouterOS_firewall_filter_rule_input_example_5.png
 +
RouterOS_firewall_filter_rule_input_example_6.png
 +
</gallery>
 +
 
 +
<!--T:41-->
 +
Nyt on valmiina peruspalomuuriasetukset. Palomuuri toimii ylhäältä alaspäin (0 ->) listan mukaisesti. Oletuksena on aina sallitaan jos ei toisin mainita.
 +
 
 +
  <!--T:42-->
 +
/ip firewall filter print
 +
 
 +
<!--T:43-->
 +
<gallery>
 +
RouterOS_firewall_filter_rule_input_example_8.png
 +
</gallery>
 +
 
 +
=== Estä hallintaporteihin pääsy ulkoverkosta === <!--T:44-->
 +
 
 +
<!--T:45-->
 +
Estetään ulkoverkosta pääsy hallintaportteihin 21, 22, 23, 80 ulkoverkosta. Tämä suojaa Mikrotikkiä ettei ulkopuolinen pääse laitteeseen käsiksi helpolla.
 +
 
 +
  <!--T:46-->
 +
/ip firewall filter add chain=input protocol=tcp dst-port=21,22,23,80 in-interface=ether1 action=drop
 +
 
 +
== NAT == <!--T:47-->
 +
 
 +
<!--T:48-->
 +
NAT:ista meillä on oma artikkeli: [[RouterOS NAT]]
 +
 
 +
== Mangle == <!--T:49-->
 +
 
 +
<!--T:50-->
 +
Mangle:n avulla voit merkata paketit erityisellä merkillä. Voit lisätä merkin pakettiin ja käyttää esimerkiksi [[RouterOS Queue|Queue]]:ssa, NAT:issa ja reitittämisessä. Mangle:n merkit ovat vain nykyisen reitittimen merkkejä, eli niitä ei lähetetä verkossa eteenpäin.
 +
 
 +
=== Marking Packets === <!--T:51-->
 +
 
 +
<!--T:52-->
 +
Merkataan esimerkiksi interface:n ether1-gateway:n portissa 80 menevät paketit.
 +
 
 +
  <!--T:53-->
 +
/ip firewall mangle add chain=forward protocol=tcp dst-port=80 in-interface=ether1-gateway action=mark-packet new-packet-mark=HTTP
 +
 
 +
<!--T:54-->
 +
<gallery>
 +
Tiedosto:RouterOS Firewall Mangle marking packets 1.png
 +
Tiedosto:RouterOS Firewall Mangle marking packets 2.png
 +
</gallery>
 +
 
 +
== Aiheeseen liittyvää == <!--T:55-->
 +
 
 +
<!--T:56-->
 +
* [[RouterOS Queue]]
 +
* [[RouterOS NAT]]
 +
 
 +
== Lähteet == <!--T:57-->
 +
 
 +
<!--T:58-->
 +
http://wiki.mikrotik.com/wiki/Manual:IP/Firewall/Filter
 +
http://wiki.mikrotik.com/wiki/Manual:IP/Firewall/Mangle
 +
</translate>
 +
 
 +
[[Category:RouterOS]]

Nykyinen versio 21. elokuuta 2015 kello 07.08

Muut kielet:
English • ‎suomi

Palomuurilla toteutetaan pakettien suodatuksia ja siten tietoturva toimtinoja, jolla estetään tai sallitaan pääsy verkkoon / reitittimeen. NATin kanssa tämä auttaa estää luvattomat yhteydet ulkoverkosta sisäverkkoon.

RouterOS palomuuri noudattaa pääsääntöisesti Linuxin logiikkaa Iptablesissa.

Palomuuri asetukset ovat RouterOS - käyttöjärjestelmässä:

 /ip firewall

Filter Rules

Filter Rulen avulla voidaan rajoittaa pakettien kulkemista reitittimeen tai reitittimen läpi. Huomaathan että RouterOS käyttöjärjestelmässä palomuuri säännöt luotaan ylhäältä alaspäin.

Peruspalomuuri

Tässä esimerkissämme luomme turvallisen RouterOS peruspalomuurin joka käy jokaiseen tarpeeseen.

Luodaan aluksi salliva palomuuri sääntö, joka sallii aina yhdistämisen reitittimeen mistä tahansa verkosta ja millä tahansa protokolalla. Tämä kannattaa tehdä siksi ettei lukitse itseäsi reitittimen ulkopuolelle.

 /ip firewall filter add chain=input action=accept

Luodaan toinen palomuuri sääntö joka sallii liikennöinnnin reitittimen läpi. Yhteys pitää kuitenkin olla luotettava.

 /ip firewall filter add chain=forward  connection-state=established,related action=accept 

Estetään epämääräiset liikennöinti reitittimen läpi.

 /ip firewall filter add chain=forward connection-state=invalid action=drop

Seuraavaksi sallitaan ICMP prokolola, eli ns. ping protokola. Tämä mahdollistaa että reitittimeen voidaan pingata toisella päätelaitteella, joka on verkkoyhteydessä Mikrotikin kanssa.

 /ip firewall filter add chain=input protocol=icmp action=accept

Seuraavaksi luodaan sääntö joka estää ether1 (WAN) portista sisällepäin tulevan liikenteen.

 /ip firewall filter add chain=input in-interface=ether1 action=drop

Nyt on valmiina peruspalomuuriasetukset. Palomuuri toimii ylhäältä alaspäin (0 ->) listan mukaisesti. Oletuksena on aina sallitaan jos ei toisin mainita.

 /ip firewall filter print

Estä hallintaporteihin pääsy ulkoverkosta

Estetään ulkoverkosta pääsy hallintaportteihin 21, 22, 23, 80 ulkoverkosta. Tämä suojaa Mikrotikkiä ettei ulkopuolinen pääse laitteeseen käsiksi helpolla.

 /ip firewall filter add chain=input protocol=tcp dst-port=21,22,23,80 in-interface=ether1 action=drop

NAT

NAT:ista meillä on oma artikkeli: RouterOS NAT

Mangle

Mangle:n avulla voit merkata paketit erityisellä merkillä. Voit lisätä merkin pakettiin ja käyttää esimerkiksi Queue:ssa, NAT:issa ja reitittämisessä. Mangle:n merkit ovat vain nykyisen reitittimen merkkejä, eli niitä ei lähetetä verkossa eteenpäin.

Marking Packets

Merkataan esimerkiksi interface:n ether1-gateway:n portissa 80 menevät paketit.

 /ip firewall mangle add chain=forward protocol=tcp dst-port=80 in-interface=ether1-gateway action=mark-packet new-packet-mark=HTTP

Aiheeseen liittyvää

Lähteet

http://wiki.mikrotik.com/wiki/Manual:IP/Firewall/Filter http://wiki.mikrotik.com/wiki/Manual:IP/Firewall/Mangle

Mainos / Advertisement: