Ero sivun ”RouterOS Firewall” versioiden välillä
(Tämä versio merkittiin käännettäväksi) |
|||
(15 välissä olevaa versiota toisen käyttäjän tekemänä ei näytetä) | |||
Rivi 1: | Rivi 1: | ||
− | |||
+ | <languages/> | ||
+ | <translate> | ||
+ | <!--T:17--> | ||
Palomuurilla toteutetaan pakettien suodatuksia ja siten tietoturva toimtinoja, jolla estetään tai sallitaan pääsy verkkoon / reitittimeen. NATin kanssa tämä auttaa estää luvattomat yhteydet ulkoverkosta sisäverkkoon. | Palomuurilla toteutetaan pakettien suodatuksia ja siten tietoturva toimtinoja, jolla estetään tai sallitaan pääsy verkkoon / reitittimeen. NATin kanssa tämä auttaa estää luvattomat yhteydet ulkoverkosta sisäverkkoon. | ||
− | + | <!--T:18--> | |
+ | RouterOS palomuuri noudattaa pääsääntöisesti Linuxin logiikkaa Iptablesissa. | ||
+ | <!--T:19--> | ||
Palomuuri asetukset ovat RouterOS - käyttöjärjestelmässä: | Palomuuri asetukset ovat RouterOS - käyttöjärjestelmässä: | ||
− | /ip firewall | + | <!--T:20--> |
+ | /ip firewall | ||
+ | <!--T:21--> | ||
<gallery> | <gallery> | ||
File:RouterOS_firewall_1.png | File:RouterOS_firewall_1.png | ||
</gallery> | </gallery> | ||
− | == Filter Rules == | + | == Filter Rules == <!--T:22--> |
+ | <!--T:23--> | ||
Filter Rulen avulla voidaan rajoittaa pakettien kulkemista reitittimeen tai reitittimen läpi. Huomaathan että RouterOS käyttöjärjestelmässä palomuuri säännöt luotaan ylhäältä alaspäin. | Filter Rulen avulla voidaan rajoittaa pakettien kulkemista reitittimeen tai reitittimen läpi. Huomaathan että RouterOS käyttöjärjestelmässä palomuuri säännöt luotaan ylhäältä alaspäin. | ||
− | === Peruspalomuuri === | + | === Peruspalomuuri === <!--T:24--> |
+ | <!--T:25--> | ||
Tässä esimerkissämme luomme turvallisen RouterOS peruspalomuurin joka käy jokaiseen tarpeeseen. | Tässä esimerkissämme luomme turvallisen RouterOS peruspalomuurin joka käy jokaiseen tarpeeseen. | ||
+ | <!--T:26--> | ||
Luodaan aluksi salliva palomuuri sääntö, joka sallii aina yhdistämisen reitittimeen mistä tahansa verkosta ja millä tahansa protokolalla. Tämä kannattaa tehdä siksi ettei lukitse itseäsi reitittimen ulkopuolelle. | Luodaan aluksi salliva palomuuri sääntö, joka sallii aina yhdistämisen reitittimeen mistä tahansa verkosta ja millä tahansa protokolalla. Tämä kannattaa tehdä siksi ettei lukitse itseäsi reitittimen ulkopuolelle. | ||
− | /ip firewall filter add chain=input action=accept | + | <!--T:27--> |
+ | /ip firewall filter add chain=input action=accept | ||
+ | <!--T:28--> | ||
<gallery> | <gallery> | ||
RouterOS_firewall_filter_rule_input_example_1.png | RouterOS_firewall_filter_rule_input_example_1.png | ||
Rivi 30: | Rivi 41: | ||
</gallery> | </gallery> | ||
+ | <!--T:29--> | ||
Luodaan toinen palomuuri sääntö joka sallii liikennöinnnin reitittimen läpi. Yhteys pitää kuitenkin olla luotettava. | Luodaan toinen palomuuri sääntö joka sallii liikennöinnnin reitittimen läpi. Yhteys pitää kuitenkin olla luotettava. | ||
− | /ip firewall filter add chain=forward connection-state=established,related action=accept | + | <!--T:30--> |
+ | /ip firewall filter add chain=forward connection-state=established,related action=accept | ||
+ | <!--T:31--> | ||
<gallery> | <gallery> | ||
RouterOS_firewall_filter_rule_input_example_3.png | RouterOS_firewall_filter_rule_input_example_3.png | ||
Rivi 39: | Rivi 53: | ||
</gallery> | </gallery> | ||
+ | <!--T:32--> | ||
Estetään epämääräiset liikennöinti reitittimen läpi. | Estetään epämääräiset liikennöinti reitittimen läpi. | ||
− | /ip firewall filter add chain=forward connection-state=invalid action=drop | + | <!--T:33--> |
+ | /ip firewall filter add chain=forward connection-state=invalid action=drop | ||
+ | <!--T:34--> | ||
<gallery> | <gallery> | ||
RouterOS_firewall_filter_rule_input_example_7.png | RouterOS_firewall_filter_rule_input_example_7.png | ||
Rivi 48: | Rivi 65: | ||
</gallery> | </gallery> | ||
+ | <!--T:35--> | ||
Seuraavaksi sallitaan ICMP prokolola, eli ns. ping protokola. Tämä mahdollistaa että reitittimeen voidaan pingata toisella päätelaitteella, joka on verkkoyhteydessä Mikrotikin kanssa. | Seuraavaksi sallitaan ICMP prokolola, eli ns. ping protokola. Tämä mahdollistaa että reitittimeen voidaan pingata toisella päätelaitteella, joka on verkkoyhteydessä Mikrotikin kanssa. | ||
− | /ip firewall filter add chain=input protocol=icmp action=accept | + | <!--T:36--> |
+ | /ip firewall filter add chain=input protocol=icmp action=accept | ||
+ | <!--T:37--> | ||
<gallery> | <gallery> | ||
RouterOS_firewall_filter_rule_input_example_4.png | RouterOS_firewall_filter_rule_input_example_4.png | ||
Rivi 57: | Rivi 77: | ||
</gallery> | </gallery> | ||
+ | <!--T:38--> | ||
Seuraavaksi luodaan sääntö joka estää ether1 (WAN) portista sisällepäin tulevan liikenteen. | Seuraavaksi luodaan sääntö joka estää ether1 (WAN) portista sisällepäin tulevan liikenteen. | ||
− | /ip firewall filter add chain=input in-interface=ether1 action=drop | + | <!--T:39--> |
+ | /ip firewall filter add chain=input in-interface=ether1 action=drop | ||
+ | <!--T:40--> | ||
<gallery> | <gallery> | ||
RouterOS_firewall_filter_rule_input_example_5.png | RouterOS_firewall_filter_rule_input_example_5.png | ||
Rivi 66: | Rivi 89: | ||
</gallery> | </gallery> | ||
+ | <!--T:41--> | ||
Nyt on valmiina peruspalomuuriasetukset. Palomuuri toimii ylhäältä alaspäin (0 ->) listan mukaisesti. Oletuksena on aina sallitaan jos ei toisin mainita. | Nyt on valmiina peruspalomuuriasetukset. Palomuuri toimii ylhäältä alaspäin (0 ->) listan mukaisesti. Oletuksena on aina sallitaan jos ei toisin mainita. | ||
− | /ip firewall filter print | + | <!--T:42--> |
+ | /ip firewall filter print | ||
+ | <!--T:43--> | ||
<gallery> | <gallery> | ||
RouterOS_firewall_filter_rule_input_example_8.png | RouterOS_firewall_filter_rule_input_example_8.png | ||
</gallery> | </gallery> | ||
− | == | + | === Estä hallintaporteihin pääsy ulkoverkosta === <!--T:44--> |
+ | <!--T:45--> | ||
+ | Estetään ulkoverkosta pääsy hallintaportteihin 21, 22, 23, 80 ulkoverkosta. Tämä suojaa Mikrotikkiä ettei ulkopuolinen pääse laitteeseen käsiksi helpolla. | ||
+ | |||
+ | <!--T:46--> | ||
+ | /ip firewall filter add chain=input protocol=tcp dst-port=21,22,23,80 in-interface=ether1 action=drop | ||
+ | |||
+ | == NAT == <!--T:47--> | ||
+ | |||
+ | <!--T:48--> | ||
+ | NAT:ista meillä on oma artikkeli: [[RouterOS NAT]] | ||
+ | |||
+ | == Mangle == <!--T:49--> | ||
+ | |||
+ | <!--T:50--> | ||
+ | Mangle:n avulla voit merkata paketit erityisellä merkillä. Voit lisätä merkin pakettiin ja käyttää esimerkiksi [[RouterOS Queue|Queue]]:ssa, NAT:issa ja reitittämisessä. Mangle:n merkit ovat vain nykyisen reitittimen merkkejä, eli niitä ei lähetetä verkossa eteenpäin. | ||
+ | |||
+ | === Marking Packets === <!--T:51--> | ||
+ | |||
+ | <!--T:52--> | ||
+ | Merkataan esimerkiksi interface:n ether1-gateway:n portissa 80 menevät paketit. | ||
+ | |||
+ | <!--T:53--> | ||
+ | /ip firewall mangle add chain=forward protocol=tcp dst-port=80 in-interface=ether1-gateway action=mark-packet new-packet-mark=HTTP | ||
+ | |||
+ | <!--T:54--> | ||
+ | <gallery> | ||
+ | Tiedosto:RouterOS Firewall Mangle marking packets 1.png | ||
+ | Tiedosto:RouterOS Firewall Mangle marking packets 2.png | ||
+ | </gallery> | ||
+ | |||
+ | == Aiheeseen liittyvää == <!--T:55--> | ||
+ | |||
+ | <!--T:56--> | ||
+ | * [[RouterOS Queue]] | ||
* [[RouterOS NAT]] | * [[RouterOS NAT]] | ||
+ | |||
+ | == Lähteet == <!--T:57--> | ||
+ | |||
+ | <!--T:58--> | ||
+ | http://wiki.mikrotik.com/wiki/Manual:IP/Firewall/Filter | ||
+ | http://wiki.mikrotik.com/wiki/Manual:IP/Firewall/Mangle | ||
+ | </translate> | ||
+ | |||
+ | [[Category:RouterOS]] |
Nykyinen versio 21. elokuuta 2015 kello 07.08
Palomuurilla toteutetaan pakettien suodatuksia ja siten tietoturva toimtinoja, jolla estetään tai sallitaan pääsy verkkoon / reitittimeen. NATin kanssa tämä auttaa estää luvattomat yhteydet ulkoverkosta sisäverkkoon.
RouterOS palomuuri noudattaa pääsääntöisesti Linuxin logiikkaa Iptablesissa.
Palomuuri asetukset ovat RouterOS - käyttöjärjestelmässä:
/ip firewall
Sisällysluettelo
Filter Rules
Filter Rulen avulla voidaan rajoittaa pakettien kulkemista reitittimeen tai reitittimen läpi. Huomaathan että RouterOS käyttöjärjestelmässä palomuuri säännöt luotaan ylhäältä alaspäin.
Peruspalomuuri
Tässä esimerkissämme luomme turvallisen RouterOS peruspalomuurin joka käy jokaiseen tarpeeseen.
Luodaan aluksi salliva palomuuri sääntö, joka sallii aina yhdistämisen reitittimeen mistä tahansa verkosta ja millä tahansa protokolalla. Tämä kannattaa tehdä siksi ettei lukitse itseäsi reitittimen ulkopuolelle.
/ip firewall filter add chain=input action=accept
Luodaan toinen palomuuri sääntö joka sallii liikennöinnnin reitittimen läpi. Yhteys pitää kuitenkin olla luotettava.
/ip firewall filter add chain=forward connection-state=established,related action=accept
Estetään epämääräiset liikennöinti reitittimen läpi.
/ip firewall filter add chain=forward connection-state=invalid action=drop
Seuraavaksi sallitaan ICMP prokolola, eli ns. ping protokola. Tämä mahdollistaa että reitittimeen voidaan pingata toisella päätelaitteella, joka on verkkoyhteydessä Mikrotikin kanssa.
/ip firewall filter add chain=input protocol=icmp action=accept
Seuraavaksi luodaan sääntö joka estää ether1 (WAN) portista sisällepäin tulevan liikenteen.
/ip firewall filter add chain=input in-interface=ether1 action=drop
Nyt on valmiina peruspalomuuriasetukset. Palomuuri toimii ylhäältä alaspäin (0 ->) listan mukaisesti. Oletuksena on aina sallitaan jos ei toisin mainita.
/ip firewall filter print
Estä hallintaporteihin pääsy ulkoverkosta
Estetään ulkoverkosta pääsy hallintaportteihin 21, 22, 23, 80 ulkoverkosta. Tämä suojaa Mikrotikkiä ettei ulkopuolinen pääse laitteeseen käsiksi helpolla.
/ip firewall filter add chain=input protocol=tcp dst-port=21,22,23,80 in-interface=ether1 action=drop
NAT
NAT:ista meillä on oma artikkeli: RouterOS NAT
Mangle
Mangle:n avulla voit merkata paketit erityisellä merkillä. Voit lisätä merkin pakettiin ja käyttää esimerkiksi Queue:ssa, NAT:issa ja reitittämisessä. Mangle:n merkit ovat vain nykyisen reitittimen merkkejä, eli niitä ei lähetetä verkossa eteenpäin.
Marking Packets
Merkataan esimerkiksi interface:n ether1-gateway:n portissa 80 menevät paketit.
/ip firewall mangle add chain=forward protocol=tcp dst-port=80 in-interface=ether1-gateway action=mark-packet new-packet-mark=HTTP
Aiheeseen liittyvää
Lähteet
http://wiki.mikrotik.com/wiki/Manual:IP/Firewall/Filter http://wiki.mikrotik.com/wiki/Manual:IP/Firewall/Mangle