Главная » Роутер » Вы здесь

Настройка файервола в роутере Mikrotik

Настройка Firewall на роутере Mikrotik

Роутеры компании Mikrotik достаточно популярны и установлены в домах или офисах у многих пользователей. Основной безопасности работы с таким оборудованием является верно настроенный firewall. Он включает в себя набор параметров и правил, позволяющих обезопасить сеть от посторонних соединений и взломов.

Настраиваем firewall роутера Mikrotik

Настройка маршрутизатора осуществляется с помощью особой операционной системы, которая позволяет использовать веб-интерфейс или специальную программу. В двух этих версиях присутствуют все необходимое для редактирования файервола, поэтому не имеет значения, чему вы отдадите предпочтение. Мы же остановимся на браузерной версии. Перед началом вам необходимо выполнить вход:

  1. Через любой удобный браузер перейдите по адресу 192.168.88.1.
  2. Перейти на страницу настройки роутера Microtik

  3. В стартовом окне веб-интерфейса роутера выберите «Webfig».
  4. Начальное окно веб-интерфейса Microtik

  5. Перед вами отобразится форма для входа. Введите в строках логин и пароль, которые по умолчанию имеют значения admin.
  6. Вход в интерфейс Microtik

Детальнее о полной настройке роутеров данной компании вы можете узнать в другой нашей статье по ссылке ниже, а мы перейдем непосредственно к конфигурации защитных параметров.

Подробнее: Как настроить роутер Mikrotik

Очищение листа правил и создание новых

После входа перед вами отобразится главное меню, где слева присутствует панель со всеми категориями. Перед добавлением собственной конфигурации вам потребуется выполнить следующее:

  1. Разверните категорию «IP» и перейдите в раздел «Firewall».
  2. Перейти к разделу Firewall на роутере Microtik

  3. Очистите все присутствующие правила нажатием на соответствующую кнопку. Произвести это необходимо для того, чтобы в дальнейшем не возникало конфликтов при создании собственной конфигурации.
  4. Очистить список правил защиты на роутере Microtik

  5. Если вы вошли в меню через браузер, переход к окну создания настройки осуществляется через кнопку «Add», в программе же вам следует нажать на красный плюс.
  6. Создать новое правило защиты на роутере Microtik

Теперь, после добавления каждого правила, вам нужно будет кликать на эти же кнопки создания, чтобы заново развернуть окно редактирования. Давайте подробнее остановимся на всех основных параметрах безопасности.

Проверка связи устройства

Соединенный с компьютером роутер иногда проверяется операционной системой Windows на наличие активного подключения. Запустить такой процесс можно и вручную, однако доступно это обращение будет только в том случае, если в файерволе присутствует правило, разрешающее связь с ОС. Настраивается оно следующим образом:

  1. Нажмите на «Add» или красный плюс для отображения нового окна. Здесь в строке «Chain», что переводится как «Сеть» укажите «Input» – входящий. Так это поможет определить, что система обращается к маршрутизатору.
  2. Выбор типа сети для пинговки устройства Microtik

  3. На пункт «Protocol» установите значение «icmp». Данный тип служит для передачи сообщений, связанных с ошибками и другими нестандартными ситуациями.
  4. Выбор протокола для пинговки устройства Microtik

  5. Переместитесь в раздел или вкладку «Action», где поставьте «Accept», то есть такое редактирование разрешает проводить пинговку устройства Windows.
  6. Выбор действия для пинговки устройства Microtik

  7. Поднимитесь вверх, чтобы применить изменения и завершить редактирование правила.
  8. Сохранить настройки правила защиты на роутере Microtik

Однако на этом весь процесс обмена сообщениями и проверки оборудования через ОС Виндовс не заканчивается. Вторым пунктом является передача данных. Поэтому создайте новый параметр, где укажите «Сhain»«Forward», а протокол задайте таким, как это сделали на предыдущем шаге.

Второе правило пинговки устройства Microtik

Не забудьте проверить «Action», чтобы там было поставлено «Accept».

Разрешение установленных подключений

К роутеру иногда подключаются другие устройства посредством Wi-Fi или кабелей. Кроме этого может использоваться домашняя или корпоративная группа. В таком случае потребуется разрешить установленные подключения, чтобы не возникало проблем с доступом в интернет.

  1. Нажмите «Add». Снова укажите тип входящий тип сети. Опуститесь немного вниз и поставьте галочку «Established» напротив «Connection State», чтобы указать установленное соединение.
  2. Первое правило установленного подключения Microtik

  3. Не забывайте проверить «Action», чтобы там был выбран необходимый нам пункт, как и в предыдущих конфигурациях правил. После этого можно сохранить изменения и перейти далее.
  4. Выбор действия для пинговки устройства Microtik

Еще в одном правиле поставьте «Forward» возле «Chain» и отметьте галочкой тот же пункт. Действие также следует подтвердить, выбрав «Accept», только после этого переходите далее.

Второе правило установленного подключения Microtik

Разрешение связанных подключений

Примерно такие же правила потребуется создать и для связанных подключений, дабы не возникало конфликтов при попытке аутентификации. Весь процесс осуществляется буквально в несколько действий:

  1. Определите для правила значение «Chain»«Input», опуститесь вниз и отметьте галочкой «Related» напротив надписи «Connection State». Не забудьте и про раздел «Action», где активируется все тот же параметр.
  2. Первое правило связанного подключения Microtik

  3. Во второй новой настройке тип соединения оставьте такой же, а вот сеть установите «Forward», также в разделе действия вам необходим пункт «Accept».
  4. Второе правило связанного подключения Microtik

Обязательно сохраняйте изменения, чтобы правила добавлялись в список.

Разрешение подключений из локальной сети

Пользователи локальной сети смогут подключаться только в том случае, когда это установлено в правилах firewall. Для редактирования вам сначала потребуется узнать, куда подключен кабель провайдера (в большинстве случаев это ether1), а также IP-адрес вашей сети. Детальнее об этом читайте в другом нашем материале по ссылке ниже.

Подробнее: Как узнать IP-адрес своего компьютера

Далее нужно настроить всего один параметр. Делается это следующим образом:

  1. В первой строке поставьте «Input», после чего опуститесь к следующей «Src. Address» и напечатайте там IP-адрес. «In. Interface» укажите «Ether1», если входной кабель от провайдера подключен именно к нему.
  2. Правило разрешения подключения из локальной сети Microtik

  3. Переместитесь во вкладку «Action», чтобы проставить там значение «Accept».

Запрет ошибочных соединений

Создание этого правила поможет вам предотвращать ошибочные соединения. Происходит автоматическое определение недостоверных подключений по определенным факторам, после чего производится их сброс и им не будет предоставлен доступ. Вам нужно создать два параметра. Делается это следующим образом:

  1. Как и в некоторых предыдущих правилах, сначала укажите «Input», после чего опуститесь вниз и поставьте галочку «invalid» возле «Connection State».
  2. Первое правило защиты ошибочных соединений Microtik

  3. Перейдите во вкладку или раздел «Action» и установите значение «Drop», что означает сброс соединений такого типа.
  4. Действие для ошибочных соединений Microtik

  5. В новом окне измените только «Chain» на «Forward», остальное выставьте так, как и в предыдущем, включая действие «Drop».
  6. Второе правило ошибочных соединений Microtik

Можно также запретить и другие попытки соединения из внешних источников. Осуществляется это настройкой всего одного правила. После «Chain»«Input» проставьте «In. Interface»«Ether1» и «Action»«Drop».

Запрет остальных входящих соединений из внешней сети Microtik

Разрешение прохождения трафика из локальной сети в интернет

Работа в операционной системе RouterOS позволяет разрабатывать множество конфигураций прохождения трафика. Мы не будет останавливаться на этом, поскольку обычным пользователям такие знания не пригодятся. Рассмотрим только одно правило файервола, позволяющее проходить трафику из локальной сети в интернет:

  1. Выберите «Chain»«Forward». Задайте «In. Interface» и «Out. Interface» значения «Ether1», после чего отметьте восклицательным знаком «In. Interface».
  2. Правило прохождения трафика из локальной сети в интернет Microtik

  3. В разделе «Action» выберите действие «Accept».
  4. Применить действие для правила трафика Microtik

Запретить остальные подключения вы можете тоже всего одним правилом:

  1. Выберите только сеть «Forward», не выставляя больше ничего.
  2. Запрет остальных подключений Microtik

  3. В «Action» убедитесь, что стоит «Drop».
  4. Действие для ошибочных соединений Microtik

По итогу конфигурации у вас должна получится примерно такая схема firewall, как на скриншоте ниже.

Схема правил Firewall роутера Microtik

На этом наша статья подходит к логическому завершению. Хотелось бы отметить, что вам не обязательно применять все правила, ведь не всегда они могут потребоваться, однако мы продемонстрировали основную настройку, которая подойдет большинству рядовых пользователей. Надеемся, предоставленная информация была полезной. Если у вас остались вопросы по этой теме, задавайте их в комментариях.

Мы рады, что смогли помочь Вам в решении проблемы.
Опишите, что у вас не получилось. Наши специалисты постараются ответить максимально быстро.

Помогла ли вам эта статья?

ДА НЕТ


Еще статьи по данной теме:


Поделиться статьей в социальных сетях:
3 комментария

Что значит «Запретить остальные подключения» после пункта под «Разрешение прохождения трафика из локальной сети в интернет»…. остальные — это какие?
Из внешней сети к роутеру? (из сети интернет)
По другим портам? (Если да, то каким?)
Из других VLAN….
В общем непонятно это правило.

Здравствуйте, Аноним. Запрет на подключение будет относиться ко всем другим интерфейсам, которые не указаны в правилах на разрешение соединений. То есть, если вы используете, например, разъемы eth1, eth2 и еще беспроводное подключение, для каждого из них можно создать разрешающее правило, но при этом запретить все остальные.

Добрый день!
Подскажите какое из правил необходимо настроить для HAMACHI? На предыдущем роутере работал без проблем напрямую, подключили Mikritik и теперь идет через ретронслятор. Заранее благодарю!

Задайте вопрос или оставьте свое мнение

Примечание: если отправленный комментарий не появился на странице, значит он ушел на проверку и скоро будет опубликован. Пожалуйста, не дублируйте вопрос. Мы ответим Вам в ближайшее время.