Mainos / Advertisement:

Ero sivun ”RouterOS Firewall” versioiden välillä

Kohteesta Taisto
Siirry navigaatioon Siirry hakuun
Rivi 1: Rivi 1:
 
{{#allow-groups:user}}
 
{{#allow-groups:user}}
<languages/>
 
<translate>
 
  
Mikrotikin RouterOS palomuuriasetukset löytyy IP -> Firewall alla.
+
Palomuurilla toteutetaan pakettien suodatuksia ja siten tietoturva toimtinoja, jolla estetään tai sallitaan pääsy verkkoon / reitittimeen. NATin kanssa tämä auttaa estää luvattomat yhteydet ulkoverkosta sisäverkkoon.  
  
   /ip firewall
+
   Ole varovainen tehdessäsi palomuuri sääntöjä. Saatat lukita itsesi järjestelmän ulkopuolelle.
  
== Porttien avaus == <!--T:1-->
+
Palomuuri asetukset ovat RouterOS - käyttöjärjestelmässä:
  
<!--T:2-->
+
   /ip firewall
Esimerkissä avaamme Mikrotikin konfigurointiportti 8291 palomuurista.
 
 
 
<!--T:3-->
 
Avaa IP -> Firewall -> Filter Rules
 
 
 
   /ip firewall filter
 
 
 
<!--T:4-->
 
Sitten valitaan Add rule
 
 
 
  add chain=input protocol=tcp dst-port=8291 action=accept
 
 
 
[[Tiedosto:Open portwinbox.jpg]]
 
[[Tiedosto:Openportwinbox2.jpg]]
 
  
== Porttien sulkeminen ==
+
<gallery>
 +
File:RouterOS_firewall_1.png
 +
</gallery>
  
* Sulje portit 21, 22, 23 ja 80 ulkoverkosta, jotta hallinta pysyy turvallisena.
+
== Filter Rules ==
  
  ip firewall filter add action="drop" chain="input" dst-port="21" in-interface="ether1-gateway"
+
Filter Rulen avulla voidaan rajoittaa pakettien kulkemista reitittimeen tai reitittimen läpi. Huomaathan että RouterOS käyttöjärjestelmässä palomuuri säännöt luotaan ylhäältä alaspäin.
  
 +
Palomuuri asetukset ovat meillä nyt alussa tyhjiä. Eli kaikki liikenne pääsee läpi miten vain.
  
== Porttiohjaus == <!--T:7-->
+
Luodaan aluksi salliva palomuuri sääntö, joka sallii aina yhdistämisen reitittimeen mistä tahansa verkosta ja millä tahansa protokolalla. Tämä kannattaa tehdä siksi ettei lukitse itseäsi reitittimen ulkopuolelle.
  
 +
  /ip firewall filter add chain=input action=accept
  
Esimerkki porttiohjaus SSH:lle.  
+
<gallery>
 +
RouterOS_firewall_filter_rule_input_example_1.png
 +
RouterOS_firewall_filter_rule_input_example_2.png
 +
</gallery>
  
Mennään IP -> Firewall -> NAT -> New rule
+
Luodaan toinen palomuuri sääntö joka sallii liikennöinnnin reitittimen läpi.
  
[[Tiedosto:winboxssh.jpg]]
+
  /ip firewall filter add chain=forward action=accept
[[Tiedosto:winboxssh2.jpg]]
 
  
  add chain=dstnat  protocol=tcp dst-port=1234 in-interface=ether1-gateway action=dst-nat to-addresses=192.168.112.3 to-ports=22
+
<gallery>
 +
RouterOS_firewall_filter_rule_input_example_3.png
 +
RouterOS_firewall_filter_rule_input_example_2.png
 +
</gallery>
  
SSH yhteyden ottaessani ''minunulkoverkonip'':1234 ohjautuu sisäverkon palvelimelle porttiin 22.
+
Seuraavaksi sallitaan ICMP prokoloka, eli ns. ping protokola. Tämä mahdollistaa että reitittimeen voidaan pingata toisella päätelaitteella, joka on verkkoyhteydessä Mikrotikin kanssa.
  
== Aiheeseen liittyvää ==
+
  /ip firewall filter add chain=input protocol=icmp action=accept
  
[[RouterOS NAT]]
+
<gallery>
 +
RouterOS_firewall_filter_rule_input_example_4.png
 +
RouterOS_firewall_filter_rule_input_example_2.png
 +
</gallery>
  
== Lähde ==
+
Seuraavaksi luodaan sääntö joka estää ether1 (WAN) portista sisällepäin tulevan liikenteen.
  
<!--T:16-->
+
  /ip firewall filter add chain=input in-interface=ether1 action=drop
http://wiki.mikrotik.com/wiki/Manual:IP/Firewall/Filter
 
  
</translate>
+
<gallery>
 +
RouterOS_firewall_filter_rule_input_example_5.png
 +
RouterOS_firewall_filter_rule_input_example_6.png
 +
</gallery>

Versio 15. maaliskuuta 2015 kello 13.51

{{#allow-groups:user}}

Palomuurilla toteutetaan pakettien suodatuksia ja siten tietoturva toimtinoja, jolla estetään tai sallitaan pääsy verkkoon / reitittimeen. NATin kanssa tämä auttaa estää luvattomat yhteydet ulkoverkosta sisäverkkoon. 

 Ole varovainen tehdessäsi palomuuri sääntöjä. Saatat lukita itsesi järjestelmän ulkopuolelle.

Palomuuri asetukset ovat RouterOS - käyttöjärjestelmässä: 

 /ip firewall
  • RouterOS firewall 1.png

Filter Rules

Filter Rulen avulla voidaan rajoittaa pakettien kulkemista reitittimeen tai reitittimen läpi. Huomaathan että RouterOS käyttöjärjestelmässä palomuuri säännöt luotaan ylhäältä alaspäin.

Palomuuri asetukset ovat meillä nyt alussa tyhjiä. Eli kaikki liikenne pääsee läpi miten vain.

Luodaan aluksi salliva palomuuri sääntö, joka sallii aina yhdistämisen reitittimeen mistä tahansa verkosta ja millä tahansa protokolalla. Tämä kannattaa tehdä siksi ettei lukitse itseäsi reitittimen ulkopuolelle. 

 /ip firewall filter add chain=input action=accept
  • RouterOS firewall filter rule input example 1.png
  • RouterOS firewall filter rule input example 2.png

Luodaan toinen palomuuri sääntö joka sallii liikennöinnnin reitittimen läpi. 

 /ip firewall filter add chain=forward action=accept
  • RouterOS firewall filter rule input example 3.png
  • RouterOS firewall filter rule input example 2.png

Seuraavaksi sallitaan ICMP prokoloka, eli ns. ping protokola. Tämä mahdollistaa että reitittimeen voidaan pingata toisella päätelaitteella, joka on verkkoyhteydessä Mikrotikin kanssa. 

 /ip firewall filter add chain=input protocol=icmp action=accept
  • RouterOS firewall filter rule input example 4.png
  • RouterOS firewall filter rule input example 2.png

Seuraavaksi luodaan sääntö joka estää ether1 (WAN) portista sisällepäin tulevan liikenteen. 

 /ip firewall filter add chain=input in-interface=ether1 action=drop
  • RouterOS firewall filter rule input example 5.png
  • RouterOS firewall filter rule input example 6.png
Noudettu kohteesta ”https://taisto.org/index.php?title=RouterOS_Firewall&oldid=5402
Mainos / Advertisement: