Základy Firewallu v MikroTik RouterOS
Základy Firewallu v MikroTik RouterOS
Úvod do firewallu
Firewall je základní bezpečnostní mechanismus v síťové infrastruktuře, který slouží k filtrování a řízení síťového provozu. Jeho hlavním úkolem je chránit vnitřní síť před neoprávněným přístupem z internetu a zároveň regulovat odchozí provoz.
V MikroTik RouterOS je firewall výkonný nástroj, který umožňuje:
- Stateless i stateful filtrování paketů
- Detekci Layer-7 protokolů
- Filtrování P2P protokolů
- Klasifikaci provozu podle IP adres, MAC adres, portů, protokolů, velikosti paketů a dalších kritérií.
Hlavní moduly firewallu v RouterOS
Firewall v MikroTik RouterOS se skládá ze tří hlavních modulů:
- Filter/RAW – umožňuje blokování nebo povolení paketů na základě předem definovaných pravidel. RAW tabulka umožňuje filtrování ještě před sledováním spojení, což šetří systémové zdroje.
- Mangle – slouží k označování paketů, nastavování priorit nebo jiným úpravám síťového provozu.
- NAT (Network Address Translation) – umožňuje překlad síťových adres, například při konfiguraci port forwardingu nebo sdílení veřejné IP adresy.
Pravidla firewallu a řetězce (chains)
Pravidla firewallu v RouterOS jsou organizována do řetězců (chains), které zajišťují zpracování paketů v určité fázi jejich cesty skrz router:
| Řetězec | Použití |
|---|---|
| input | Filtrování paketů směřujících do routeru |
| forward | Provoz, který router pouze přeposílá |
| output | Pakety, které router sám generuje |
| prerouting | Manipulace s pakety ještě před rozhodnutím o směrování |
| postrouting | Úprava paketů těsně před odesláním |
Například pravidlo pro povolení SSH připojení na router může vypadat takto:
/ip firewall filter
add chain=input protocol=tcp dst-port=22 action=accept comment="Povolit SSH"A naopak, pravidlo blokující vše ostatní:
/ip firewall filter
add chain=input action=drop comment="Blokovat vše ostatní"Konfigurace základního firewallu
Doporučená základní pravidla firewallu pro ochranu routeru:
/ip firewall filter
add action=accept chain=input connection-state=established,related comment="Povolit známé spojení"
add action=drop chain=input connection-state=invalid comment="Zahodit neplatná spojení"
add action=accept chain=input protocol=icmp comment="Povolit ICMP (ping)"
add action=accept chain=input protocol=tcp port=8291 comment="Povolit WinBox"
add action=accept chain=input protocol=tcp port=22 comment="Povolit SSH"
add action=drop chain=input comment="Blokovat vše ostatní"Tato pravidla:
- Povolení již navázaných spojení (snižuje zatížení CPU)
- Zahazují neplatné pakety
- Povoluji ICMP (ping) pro diagnostiku
- Povoluji administrativní přístupy (WinBox a SSH)
- Blokují veškerý ostatní provoz.
NAT a přesměrování portů
NAT (Network Address Translation) umožňuje přesměrování příchozího provozu na konkrétní zařízení v síti. Například pro přesměrování HTTP provozu na server v lokální síti:
/ip firewall nat
add chain=dstnat protocol=tcp dst-port=80 action=dst-nat to-addresses=192.168.1.10 to-ports=80 comment="Přesměrování HTTP na server"Tímto pravidlem router přesměruje provoz na port 80 směrem na IP adresu 192.168.1.10.
Dynamické seznamy IP adres
Pro blokování podezřelých IP adres můžeme využít dynamické seznamy:
/ip firewall address-list
add list=blocked_ips address=192.0.2.1
/ip firewall filter
add chain=input src-address-list=blocked_ips action=drop comment="Blokovat škodlivé IP adresy"Tento přístup umožňuje efektivně spravovat blokované adresy a přidávat nové hrozby do seznamu bez nutnosti upravovat pravidla firewallu.
Ochrana LAN sítě
Pro ochranu zařízení v lokální síti můžeme nakonfigurovat pravidlo blokující veškerý příchozí provoz z internetu na klientské stanice:
/ip firewall filter
add chain=forward in-interface=ether1 action=drop comment="Blokování přístupu z WAN na LAN"Ether1 je v tomto případě rozhraní připojené k internetu.
Monitorování a ladění firewallu
Pro zjištění, které pravidlo firewallu se aplikuje na konkrétní paket, lze použít logování:
/ip firewall filter
add chain=input action=log log-prefix="Blokovaný paket: " comment="Logovat zablokované pakety"Další diagnostické nástroje:
- Torch – sledování paketů v reálném čase (
/tool torch) - Ping – testování konektivity (
/ping 8.8.8.8) - Traceroute – sledování cesty paketů (
/tool traceroute 8.8.8.8)
Závěr
Firewall v MikroTik RouterOS je silný nástroj pro zabezpečení sítě. Pro efektivní využití je důležité pochopit koncepty pravidel, řetězců a způsob zpracování paketů. Tento dokument poskytuje základní přehled a doporučení pro začínající L1 techniky. Další podrobnosti lze nalézt v oficiální dokumentaci MikroTik.