Все статьи > Руководство по Firewall Mikrotik

Межсетевые экраны позволяют отделять локальную сеть от внешнего мира делая ее менее уязвимой. Всякий раз когда сети объединяются есть вероятность что кто нибудь из вне вторгнется в вашу ЛВС. Такие взломы могут привести к потере данных и прочим проблемам. В Mikrotik RouterOS также реализованы такие особенности файервола как маскарадинг, который позволяет скрывать инфраструктуру вашей ЛВС.

MikroTik RouterOS упрощает создание и развертывание сложных политик безопасности. Фактически вы можете легко создавать простой фильтр для трансляции адресов даже не задумываясь о том как пакет обрабатывается маршрутизатором. Но если вы хотите развернуть более сложную политику безопасности необходимо знать некоторые детали процесса. Прохождение пакета через маршрутизатор показано на следующей схеме:

Как вы можете видеть пакет может поступить на обработку двумя путями. Первый пакет прибыл с сетевого интерфейса, второй пакет был порожден самим маршрутизатором. Аналогично пакет может покинуть обработку т.е уйти через сетевой интерфейс наружу или если пакет предназначен локальным приложениям он будет отдан им.

Когда пакет прибывает на сетевой интерфейс правила файервола отрабатываются в следующем порядке.

1. Сначала отрабатываются правила NAT. Файервольные правила цепочки input и решение о маршрутизации отрабатываются после прохождения правил NAT.

2. Если пакет должен быть отправлен через маршрутизатор(forward), то следующим за NAT отрабатываются правила forward.

3. Когда пакет покидает интерфейс первыми отрабатываются правила цепочки output, затем NAT и очереди.

Дополнительные стрелки от IPSec показывают обработку зашифрованных пакетов (сначала пакет проходит шифрацию/дешифрацию, а затем обрабатывается как обычный пакет).

Правила файервола

Уровень подменю:

/ip firewall rule

Описание:
Правило это определенное выражение, которое говорит маршрутизатору что делать с конкретным пакетом. Правило состоит из двух логических частей: установки соответствия и установки действия. Для каждого пакета вам необходимо определить правило соответствия и действие.

Peer-to-Peer Traffic Filtering

MikroTik RouterOS обеспечивает возможность фильтрации трафика для многих пиринговых программ использующих протокол P2P.

ICMP TYPE:CODE values
Для защиты вашего маршрутизатора и стоящей за ним частной сети, вам необходимо сконфигурировать файервол для сброса или отклонения большей части ICMP трафика. Однако некоторые ICMP пакеты необходимы для поддержки бесперебойной работы и диагностики неисправностей.

Общее предложение по фильтрации ICMP трафика.
1. Разрешить исходящий ping ICMP Echo-Request и входящие сообщение Echo-reply
2. Разрешить traceroute TTL-Exceeded и Port-Unrechable входящие сообщения
3. Разрешить path MTU-ICMP Fragmentation-DF-Set входящие сообщения
4. Все остальное блокировать

Тип обслуживания

Интернет-пути изменяются по качеству обслуживания, которое они обеспечивают. Они могут изменятся по стоимости, надежности, задержке и пропускной способности. Эта ситуация предполагает некоторые взаимодействия то есть путь с самой маленькой задержкой может находится в самой медленной полосе. Поэтому самый "оптимальный" путь для пакета следующего через Интернет может зависеть от требуемого приложения и потребностей пользователя.

Поскольку сеть сама по себе не наделена знаниями об оптимизации пути выбранного приложением или пользователем, протокол IP обеспечивает возможность взаимодействия с протоколами верхнего уровня, которые передают подсказки интернет-уровню как должны происходить обмены пакетами для данного соединения. Это средство называют Type of Service (типом обслуживания).