Ручная Настройка Default Firewall Filer Rules

Ручная Настройка Default Firewall Filer Rules.

В данной статье попробуем настроить дефолтный Firewall с объяснениями. Сделаем это самостоятельно без использования дефолтного Firewall из конфигурации SOHO роутера.
Для начала удалим все правила и начнем с оптимизации нашего Firewall.

Первое, что хотелось бы сказать — правила связанные с established, related и untracked. Они дают зеленый свет трафику, проходящему через роутер. Его не будем проверять по 10 раз нашим Firewal. Established, related, untraked мы будем пропускать action=accept.

В комментарий добавляем: Established/Related.

После создания первого правила можно его скопировать и заменить цепочку на input.

В цепочке output в данной конфигурации правил не будет.

/ip firewall filter add chain=forward connection-state=established,related,untracked action=accept comment=Established/Related

/ip firewall filter add chain=input connection-state=established,related,untracked action=accept comment=Established/Related

Дальше мы должны отбрасывать пакеты, которые, по мнению нашего фаервола, по какой-то причине неправильные (Например, пришли не с того интерфейса, с которого мы их отправляли). Для этого мы создаем правило:

/ip firewall filter add chain=forward in-interface-list=WAN connection-state=invalid action=drop comment=Invalid

Но в такой ситуации мы можем попасть на проблему в локальной сети. Если там у нас используется маршрутизация, то она в локальной сети может быть асинхронной и в этот момент мы можем поймать проблему с ней.

Добавляем комментарий и копируем для цепочки input, тем самым будем дропать неправильные пакеты, направляемые к роутеру.

/ip firewall filter add chain=input in-interface-list=WAN connection-state=invalid action=drop comment=Invalid

Далее нам потребуется настройка доступа к роутеру с внешней сети. Например, нам необходимо иметь возможность пинговатьь наш роутер по icmp протоколу.
Создаем правило указывая внешний интерфейс лист:

/ip firewall filter add chain=input protocol=icmp in-interface-list=WAN packet-size=0-128 action=accept comment=ICMP

Дальше, если мы говорим про использование в корпоративной сети нашего роутера, мы очень часто применяем технологию VPN для доступа к нашей сети. Поэтому может понадобиться открытие доступа к VPN-серверу, работающему на нашем роутере.

Создадим правило в цепочке input потому, что VPN-сервер работает у нас на роутере. По этой причине мы будем открывать доступ именно к нашему роутеру, то есть в цепочку input.
Допустим откроем доступ к OpenVPN:

/ip firewall filter add chain=input protocol=tcp dst-port=1194 in-interface-list=WAN action=accept comment=OpenVPN

Если вы, например, работаете удаленно и вам по какой-то причине необходимо получить доступ к Winbox или ssh, не используя VPN.

/ip firewall filter add chain=input src-address-list=admin protocol=tcp dst-port=22,8291 in-interface-list=WAN action=accept comment=«SSH & Winbox»

После всех разрешающих правил необходимо закрыть всему остальному доступ с помощью правила:

/ip firewall filter add chain=input in-interface-list=WAN action=drop comment=Drop

Если это правило сразу скопировать для forward, у нас могут появиться некоторые проблемы с пробросом портов через dst nat (О нем поговорим в другом уроке).

Есть способы облегчения нашей дальнейшей работы и стоит их сразу использовать:

/ip firewall filter add chain=forward in-interface-list=WAN connection-state=new connection-nat-state=!dstnat action=drop comment=Drop

На этом наша настройка дефолтного firewall окончена.