🛡️ Firewall MikroTik – Zabezpieczenia krok po kroku
W świecie nieustannie rosnących zagrożeń sieciowych, poprawna konfiguracja firewalla staje się fundamentem bezpiecznego funkcjonowania każdej infrastruktury IT. Routery MikroTik, oparte na systemie RouterOS, oferują ogromne możliwości w zakresie filtracji ruchu, kontroli połączeń, NAT, inspekcji pakietów i zarządzania dostępem. Jednak to potężne narzędzie w nieodpowiednich rękach może okazać się równie niebezpieczne, co jego brak.
W niniejszym artykule przedstawiam kompleksowy przewodnik po konfiguracji firewalla MikroTik – od podstawowych blokad, przez stanowe śledzenie połączeń, po zabezpieczenia anty-DDoS i filtrację adresów IP.
🎯 Założenia i struktura
Zakładamy typową strukturę sieci:
ether1– port WAN (Internet)ether2– port LAN- Router MikroTik z czystą konfiguracją lub w środowisku produkcyjnym
- Celem jest zabezpieczenie routera, użytkowników LAN i ograniczenie ryzyk z zewnątrz
🔍 Krok 1: Zrozumienie łańcuchów (chains)
MikroTik Firewall oparty jest o 3 główne łańcuchy:
| Chain | Przeznaczenie |
|---|---|
input |
Ruch do routera (np. SSH, WinBox, www, ping) |
forward |
Ruch przez router, czyli np. z LAN do Internetu |
output |
Ruch z routera do zewnętrznych hostów (rzadko potrzebna kontrola) |
👉 Każda reguła ma określoną pozycję, dlatego kolejność ma znaczenie.
🚧 Krok 2: Podstawowa struktura reguł bezpieczeństwa
Początek firewalla powinien zawierać logikę łączenia i stanu połączeń:
/ip firewall filter
add chain=input connection-state=established,related action=accept comment="Akceptuj połączenia ustanowione"
add chain=input connection-state=invalid action=drop comment="Usuń błędne połączenia"
To minimalizuje koszty przetwarzania pakietów i pozwala filtrować tylko to, co nowe lub podejrzane.
🌐 Krok 3: Blokada ruchu spoza LAN do routera
Aby zablokować nieautoryzowany dostęp do routera z Internetu (np. przez ether1):
add chain=input in-interface=ether1 action=drop comment="Blokuj dostęp do routera z WAN"
🔐 Krok 4: Dostęp administracyjny tylko z LAN
Dostęp do usług zarządzających routerem (WinBox, SSH, Webfig) powinien być ograniczony:
add chain=input protocol=tcp dst-port=8291,22,80 in-interface=ether2 action=accept comment="Zezwól na zarządzanie tylko z LAN"
📶 Krok 5: Ping – ograniczenie
Ping może być użyteczny, ale może służyć też do rozpoznania sieci:
add chain=input protocol=icmp action=accept in-interface=ether2 comment="Ping z LAN OK"
add chain=input protocol=icmp in-interface=ether1 action=drop comment="Zablokuj ping z WAN"
🧰 Krok 6: Podstawowa ochrona anty-DDoS
MikroTik może wykrywać i blokować nadmiarowe zapytania TCP SYN – prostą formę ataku DDoS:
add chain=input protocol=tcp tcp-flags=syn connection-limit=30,32 action=drop comment="Anty-DDoS SYN flood"
⚙️ Krok 7: Forward – kontrola ruchu przez router
Dopuszczamy ruch z LAN do Internetu:
add chain=forward in-interface=ether2 out-interface=ether1 action=accept comment="LAN -> WAN OK"
A domyślnie blokujemy wszystko inne:
add chain=forward action=drop comment="Zablokuj resztę forward"
🧱 Krok 8: Ochrona przed skanowaniem portów i brute-force
Ataki brute-force na SSH, WinBox czy Telnet są codziennością. MikroTik umożliwia automatyczną blokadę takich prób:
Przykład: blokowanie po 3 próbach logowania do SSH w ciągu 1 minuty
/ip firewall filter
add chain=input protocol=tcp dst-port=22 src-address-list=brute_force_ssh action=drop comment="Zablokuj brute-force SSH"
add chain=input protocol=tcp dst-port=22 connection-state=new src-address-list=!brute_force_ssh \
action=add-src-to-address-list address-list=ssh_stage1 address-list-timeout=1m
add chain=input protocol=tcp dst-port=22 src-address-list=ssh_stage1 connection-state=new \
action=add-src-to-address-list address-list=brute_force_ssh address-list-timeout=1d
🗃️ Krok 9: Lista IP dozwolonych i blokowanych
Możemy łatwo stworzyć białą i czarną listę IP:
/ip firewall address-list
add list=dozwolone-ip address=192.168.88.2 comment="Admin laptop"
add list=blokowane-ip address=185.123.123.123 comment="Zły bot"
add chain=input src-address-list=dozwolone-ip action=accept
add chain=input src-address-list=blokowane-ip action=drop
✅ Krok 10: Na końcu – reguła domyślna DROP
Wszystko, co nie zostało jawnie zaakceptowane – powinno być odrzucone na końcu:
add chain=input action=drop comment="Domyślnie odrzucaj wszystko"
📋 Przykładowa struktura reguł – tabela
| Priorytet | Łańcuch | Działanie | Cel |
|---|---|---|---|
| 1 | input | accept (state: established, related) | Utrzymanie sesji |
| 2 | input | drop (state: invalid) | Blokada złych połączeń |
| 3 | input | accept (LAN admin ports) | Dostęp do zarządzania |
| 4 | input | drop (WAN input) | Ochrona routera |
| 5 | input | drop (icmp z WAN) | Ukrywanie routera |
| 6 | forward | accept (LAN -> WAN) | Ruch użytkowników |
| 7 | forward | drop (wszystko inne) | Zabezpieczenie |
| 8 | input | drop (reszta) | Finalna linia obrony |
📌 Wnioski i dobre praktyki
- Testuj reguły lokalnie, zanim zastosujesz je zdalnie.
- Zawsze zostaw sobie drogę powrotną (np. wyjątek IP).
- Używaj list adresowych, by łatwiej zarządzać regułami.
- Nie zostawiaj usług typu
ftp,telnet,api– jeśli ich nie potrzebujesz. - Monitoruj logi – wykrywaj anomalie wcześniej niż użytkownicy.
🎯 Podsumowanie
Firewall MikroTik to potężne narzędzie – ale jego moc tkwi w szczegółach. Nawet najprostsza konfiguracja może ochronić Twoją sieć przed podstawowymi zagrożeniami, pod warunkiem że jest świadomie i logicznie zbudowana. Warto zainwestować czas w poznanie struktury reguł i mechanizmów ochronnych RouterOS – bo właśnie tam zaczyna się bezpieczeństwo Twojej infrastruktury.
VLAN – logiczne sieci w fizycznym świecie. Fundament nowoczesnego zarządzania ruchem w infrastrukturze IT W miarę jak infrastruktura IT rozrasta Czytaj dalej
Ataki Brute Force – jak działają i jak się przed nimi chronić Ataki brute force to jedna z najstarszych, a Czytaj dalej
