Přejít na obsah
Základy Firewallu v MikroTik RouterOS

Základy Firewallu v MikroTik RouterOS

Základy Firewallu v MikroTik RouterOS

Úvod do firewallu

Firewall je základní bezpečnostní mechanismus v síťové infrastruktuře, který slouží k filtrování a řízení síťového provozu. Jeho hlavním úkolem je chránit vnitřní síť před neoprávněným přístupem z internetu a zároveň regulovat odchozí provoz.

V MikroTik RouterOS je firewall výkonný nástroj, který umožňuje:

  • Stateless i stateful filtrování paketů
  • Detekci Layer-7 protokolů
  • Filtrování P2P protokolů
  • Klasifikaci provozu podle IP adres, MAC adres, portů, protokolů, velikosti paketů a dalších kritérií.

Hlavní moduly firewallu v RouterOS

Firewall v MikroTik RouterOS se skládá ze tří hlavních modulů:

  1. Filter/RAW – umožňuje blokování nebo povolení paketů na základě předem definovaných pravidel. RAW tabulka umožňuje filtrování ještě před sledováním spojení, což šetří systémové zdroje.
  2. Mangle – slouží k označování paketů, nastavování priorit nebo jiným úpravám síťového provozu.
  3. NAT (Network Address Translation) – umožňuje překlad síťových adres, například při konfiguraci port forwardingu nebo sdílení veřejné IP adresy.

Pravidla firewallu a řetězce (chains)

Pravidla firewallu v RouterOS jsou organizována do řetězců (chains), které zajišťují zpracování paketů v určité fázi jejich cesty skrz router:

ŘetězecPoužití
inputFiltrování paketů směřujících do routeru
forwardProvoz, který router pouze přeposílá
outputPakety, které router sám generuje
preroutingManipulace s pakety ještě před rozhodnutím o směrování
postroutingÚprava paketů těsně před odesláním

Například pravidlo pro povolení SSH připojení na router může vypadat takto:

/ip firewall filter
add chain=input protocol=tcp dst-port=22 action=accept comment="Povolit SSH"

A naopak, pravidlo blokující vše ostatní:

/ip firewall filter
add chain=input action=drop comment="Blokovat vše ostatní"

Konfigurace základního firewallu

Doporučená základní pravidla firewallu pro ochranu routeru:

/ip firewall filter
add action=accept chain=input connection-state=established,related comment="Povolit známé spojení"
add action=drop chain=input connection-state=invalid comment="Zahodit neplatná spojení"
add action=accept chain=input protocol=icmp comment="Povolit ICMP (ping)"
add action=accept chain=input protocol=tcp port=8291 comment="Povolit WinBox"
add action=accept chain=input protocol=tcp port=22 comment="Povolit SSH"
add action=drop chain=input comment="Blokovat vše ostatní"

Tato pravidla:

  • Povolení již navázaných spojení (snižuje zatížení CPU)
  • Zahazují neplatné pakety
  • Povoluji ICMP (ping) pro diagnostiku
  • Povoluji administrativní přístupy (WinBox a SSH)
  • Blokují veškerý ostatní provoz.

NAT a přesměrování portů

NAT (Network Address Translation) umožňuje přesměrování příchozího provozu na konkrétní zařízení v síti. Například pro přesměrování HTTP provozu na server v lokální síti:

/ip firewall nat
add chain=dstnat protocol=tcp dst-port=80 action=dst-nat to-addresses=192.168.1.10 to-ports=80 comment="Přesměrování HTTP na server"

Tímto pravidlem router přesměruje provoz na port 80 směrem na IP adresu 192.168.1.10.

Dynamické seznamy IP adres

Pro blokování podezřelých IP adres můžeme využít dynamické seznamy:

/ip firewall address-list
add list=blocked_ips address=192.0.2.1
/ip firewall filter
add chain=input src-address-list=blocked_ips action=drop comment="Blokovat škodlivé IP adresy"

Tento přístup umožňuje efektivně spravovat blokované adresy a přidávat nové hrozby do seznamu bez nutnosti upravovat pravidla firewallu.

Ochrana LAN sítě

Pro ochranu zařízení v lokální síti můžeme nakonfigurovat pravidlo blokující veškerý příchozí provoz z internetu na klientské stanice:

/ip firewall filter
add chain=forward in-interface=ether1 action=drop comment="Blokování přístupu z WAN na LAN"

Ether1 je v tomto případě rozhraní připojené k internetu.

Monitorování a ladění firewallu

Pro zjištění, které pravidlo firewallu se aplikuje na konkrétní paket, lze použít logování:

/ip firewall filter
add chain=input action=log log-prefix="Blokovaný paket: " comment="Logovat zablokované pakety"

Další diagnostické nástroje:

  • Torch – sledování paketů v reálném čase (/tool torch)
  • Ping – testování konektivity (/ping 8.8.8.8)
  • Traceroute – sledování cesty paketů (/tool traceroute 8.8.8.8)

Závěr

Firewall v MikroTik RouterOS je silný nástroj pro zabezpečení sítě. Pro efektivní využití je důležité pochopit koncepty pravidel, řetězců a způsob zpracování paketů. Tento dokument poskytuje základní přehled a doporučení pro začínající L1 techniky. Další podrobnosti lze nalézt v oficiální dokumentaci MikroTik.


Veškerá dokumentace k tématu je k nalezení zde: https://help.mikrotik.com/docs/spaces/ROS/pages/250708066/Firewall