RouterOS Firewall
{{#allow-groups:user}}
Palomuurilla toteutetaan pakettien suodatuksia ja siten tietoturva toimtinoja, jolla estetään tai sallitaan pääsy verkkoon / reitittimeen. NATin kanssa tämä auttaa estää luvattomat yhteydet ulkoverkosta sisäverkkoon.
Palomuuri asetukset ovat RouterOS - käyttöjärjestelmässä:
/ip firewall
Sisällysluettelo
Filter Rules
Filter Rulen avulla voidaan rajoittaa pakettien kulkemista reitittimeen tai reitittimen läpi. Huomaathan että RouterOS käyttöjärjestelmässä palomuuri säännöt luotaan ylhäältä alaspäin.
Peruspalomuuri
Tässä esimerkissämme luomme turvallisen RouterOS peruspalomuurin joka käy jokaiseen tarpeeseen.
Luodaan aluksi salliva palomuuri sääntö, joka sallii aina yhdistämisen reitittimeen mistä tahansa verkosta ja millä tahansa protokolalla. Tämä kannattaa tehdä siksi ettei lukitse itseäsi reitittimen ulkopuolelle.
/ip firewall filter add chain=input action=accept
Luodaan toinen palomuuri sääntö joka sallii liikennöinnnin reitittimen läpi. Yhteys pitää kuitenkin olla luotettava.
/ip firewall filter add chain=forward connection-state=established,related action=accept
Estetään epämääräiset liikennöinti reitittimen läpi.
/ip firewall filter add chain=forward connection-state=invalid action=drop
Seuraavaksi sallitaan ICMP prokolola, eli ns. ping protokola. Tämä mahdollistaa että reitittimeen voidaan pingata toisella päätelaitteella, joka on verkkoyhteydessä Mikrotikin kanssa.
/ip firewall filter add chain=input protocol=icmp action=accept
Seuraavaksi luodaan sääntö joka estää ether1 (WAN) portista sisällepäin tulevan liikenteen.
/ip firewall filter add chain=input in-interface=ether1 action=drop
Nyt on valmiina peruspalomuuriasetukset. Palomuuri toimii ylhäältä alaspäin (0 ->) listan mukaisesti. Oletuksena on aina sallitaan jos ei toisin mainita.
/ip firewall filter print
NAT
NAT:ista meillä on oma artikkeli: RouterOS NAT