Настройка Firewall MikroTik для защиты офисной сети: практическое руководство
Firewall на MikroTik — это первая и главная линия защиты вашей сети. Без правильных правил роутер открыт для атак из интернета. За 15 лет мы провели аудит безопасности 200+ сетей на MikroTik — и в 85% случаев находили критические уязвимости в firewall.
Как работает firewall в MikroTik: цепочки input, forward и output?
К нам обратился клиент — IT-директор торговой сети. Его администратор настроил правила в неправильных цепочках, и firewall не фильтровал ничего.
- Input — трафик, направленный НА роутер (SSH, WinBox, DNS-запросы)
- Forward — трафик, проходящий ЧЕРЕЗ роутер (LAN <-> WAN)
- Output — трафик ОТ роутера (обновления, NTP-запросы)
Какие правила firewall обязательны на каждом MikroTik?
Минимальный набор правил, который мы ставим на каждый роутер. Без них — ваша сеть не защищена.
# === INPUT CHAIN ===
# 1. Принимаем established и related (ответы на наши запросы)
/ip firewall filter add chain=input connection-state=established,related action=accept
# 2. Отбрасываем invalid (битые пакеты)
/ip firewall filter add chain=input connection-state=invalid action=drop
# 3. Принимаем ICMP (ping)
/ip firewall filter add chain=input protocol=icmp action=accept
# 4. Принимаем трафик из LAN
/ip firewall filter add chain=input in-interface=bridge-lan action=accept
# 5. Отбрасываем всё остальное на input
/ip firewall filter add chain=input action=drop comment="Drop all other input"Как не потерять доступ к MikroTik при настройке firewall?
К нам обратился клиент в панике: добавил drop-правило и потерял доступ к роутеру из удалённого офиса. Пришлось ехать физически.
# Safe Mode — ваша страховка
# В WinBox нажмите "Safe Mode" перед изменениями
# Или в терминале:
/safe-mode
# Если потеряете соединение — через 9 минут изменения откатятся автоматическиКак настроить правила Forward для защиты трафика?
# === FORWARD CHAIN ===
# 1. Established и related
/ip firewall filter add chain=forward connection-state=established,related action=accept
# 2. Drop invalid
/ip firewall filter add chain=forward connection-state=invalid action=drop
# 3. Разрешаем LAN -> WAN
/ip firewall filter add chain=forward in-interface=bridge-lan out-interface=ether1 action=accept
# 4. Разрешаем DSTNAT (проброс портов)
/ip firewall filter add chain=forward connection-nat-state=dstnat action=accept
# 5. Drop всё остальное
/ip firewall filter add chain=forward action=drop comment="Drop all other forward"Как защитить MikroTik от brute-force атак на SSH и WinBox?
Каждый MikroTik с открытым портом SSH в интернете получает сотни попыток подбора пароля в день. К нам обратился клиент: в логах — тысячи записей login failure.
# Блокируем IP после 3 неудачных попыток на 24 часа
/ip firewall filter add chain=input protocol=tcp dst-port=22,8291 \
connection-state=new src-address-list=bruteforce action=drop
/ip firewall filter add chain=input protocol=tcp dst-port=22,8291 \
connection-state=new src-address-list=bruteforce-stage2 \
action=add-src-to-address-list address-list=bruteforce address-list-timeout=1d
/ip firewall filter add chain=input protocol=tcp dst-port=22,8291 \
connection-state=new src-address-list=bruteforce-stage1 \
action=add-src-to-address-list address-list=bruteforce-stage2 address-list-timeout=1m
/ip firewall filter add chain=input protocol=tcp dst-port=22,8291 \
connection-state=new \
action=add-src-to-address-list address-list=bruteforce-stage1 address-list-timeout=1mКак отключить опасные сервисы на MikroTik?
90% взломов MikroTik — через открытые сервисы на WAN. К нам обратился клиент после того, как его MikroTik стал частью ботнета Meris:
# Отключаем ВСЕ ненужные сервисы
/ip service disable telnet,ftp,www,api,api-ssl
# SSH и WinBox — только из LAN
/ip service set ssh address=10.10.1.0/24 port=2222
/ip service set winbox address=10.10.1.0/24
# Отключаем MAC-server на WAN
/tool mac-server set allowed-interface-list=LAN
/tool mac-server mac-winbox set allowed-interface-list=LAN
/tool mac-server ping set enabled=no
# Отключаем Bandwidth Server
/tool bandwidth-server set enabled=no
# Отключаем UPnP
/ip upnp set enabled=no
# Отключаем discovery на WAN
/ip neighbor discovery-settings set discover-interface-list=LANНе тратьте время на настройку — доверьте профессионалам
Каждый час простоя вашей сети — это потерянные деньги. Наши инженеры настроят оборудование за вас быстро, надёжно, с гарантией результата.
Как заблокировать доступ определённых устройств к интернету?
К нам обратился клиент — школа: нужно было ограничить доступ интерактивных панелей только к определённым сайтам.
# Создаём список заблокированных устройств
/ip firewall address-list add list=blocked-devices address=10.10.1.50
/ip firewall address-list add list=blocked-devices address=10.10.1.51
# Блокируем интернет, но оставляем локальную сеть
/ip firewall filter add chain=forward src-address-list=blocked-devices \
out-interface=ether1 action=dropКак разрешить трафик между VLAN на MikroTik?
К нам обратился клиент: после разделения сети на VLAN принтеры перестали печатать — они в другой подсети.
# Разрешаем трафик между подсетями 172.16.20.0 и 192.168.250.0
/ip firewall filter add chain=forward src-address=172.16.20.0/24 \
dst-address=192.168.250.0/24 action=accept
/ip firewall filter add chain=forward src-address=192.168.250.0/24 \
dst-address=172.16.20.0/24 action=accept
# Правила должны быть ВЫШЕ общего drop!Как настроить NAT для проброса портов без подмены адреса?
К нам обращались клиенты с вопросом: при пробросе порта на сервер — сервер видит IP роутера вместо IP клиента.
# Стандартный DSTNAT с сохранением исходного IP
/ip firewall nat add chain=dstnat dst-address=EXTERNAL_IP \
protocol=tcp dst-port=443 action=dst-nat to-addresses=10.10.1.100
# Важно: НЕ добавляйте srcnat для этого трафика
# Сервер должен иметь шлюзом MikroTikКак заблокировать сайты через DNS на MikroTik?
К нам обратился клиент — руководитель рекламного агентства: сотрудники тратили 2 часа в день на соцсети.
# Блокировка через статические DNS-записи
/ip dns static add name=vk.com address=127.0.0.1
/ip dns static add name=*.vk.com address=127.0.0.1
/ip dns static add name=youtube.com address=127.0.0.1
# Принудительно перенаправляем DNS на роутер (блокируем обход)
/ip firewall nat add chain=dstnat protocol=udp dst-port=53 \
src-address=10.10.1.0/24 action=redirect to-ports=53Как настроить логирование firewall для расследования инцидентов?
Без логов вы не узнаете, кто и когда пытался проникнуть в сеть.
# Логируем drop-правила
/ip firewall filter set [find action=drop chain=input] log=yes log-prefix="FW_INPUT_DROP"
/ip firewall filter set [find action=drop chain=forward] log=yes log-prefix="FW_FORWARD_DROP"
# Отправляем логи на syslog-сервер
/system logging action add name=remote target=remote remote=10.10.1.200
/system logging add topics=firewall action=remoteКак настроить защиту от DDoS на MikroTik?
# Ограничиваем количество соединений с одного IP
/ip firewall filter add chain=input protocol=tcp connection-limit=50,32 \
action=add-src-to-address-list address-list=ddos-suspects address-list-timeout=1h
/ip firewall filter add chain=input src-address-list=ddos-suspects action=drop
# SYN Flood Protection
/ip firewall filter add chain=input protocol=tcp tcp-flags=syn \
connection-state=new limit=200,5:packet action=accept
/ip firewall filter add chain=input protocol=tcp tcp-flags=syn action=dropКогда обратиться к профессионалам?
- Не уверены в текущих правилах — бесплатный аудит за 30 минут покажет уязвимости
- Были попытки взлома — нужен анализ логов и усиление защиты
- Сложная топология — VLAN, несколько WAN, site-to-site VPN
- Регуляторные требования — PCI DSS, ФЗ-152 о персональных данных
- После инцидента — подмена DNS, фишинг, утечка данных
Каждый час, пока ваша сеть не защищена — это потенциальный инцидент. 90% атак на малый бизнес начинаются с незащищённого сетевого оборудования.
Часто задаваемые вопросы (FAQ)
Сколько правил firewall должно быть на MikroTik?
Минимум 10-12 базовых правил. Для офиса с VLAN и VPN — 25-40 правил. Больше — не значит лучше. Мы оптимизируем правила для производительности.
Почему после настройки firewall перестал работать WiFi?
Drop-правило блокирует трафик от WiFi-клиентов. Убедитесь, что wlan1 добавлен в bridge, и правило accept для bridge-lan стоит выше drop.
Можно ли управлять MikroTik только через VPN?
Да, и мы настоятельно рекомендуем. Закройте WinBox и SSH на WAN, оставьте только VPN. Управляйте через VPN-туннель.
Как узнать, атакуют ли мой MikroTik?
Проверьте: /log print where topics~"firewall" и /ip firewall connection print. Если сотни connection с одного IP — это атака.
Firewall замедляет интернет?
При правильной настройке — нет. Connection Tracking обрабатывает established-пакеты без проверки всех правил. Медленно только при 100+ правилах без оптимизации.
Как обновить правила firewall без потери доступа?
Safe Mode + Scheduler: добавьте задачу удаления drop-правил через 5 минут. Если потеряете доступ — правила удалятся автоматически.
Нужен ли IDS/IPS на MikroTik?
MikroTik не имеет полноценного IDS. Для обнаружения угроз мы дополняем MikroTik внешним IDS (Suricata) на отдельном сервере с зеркалированием трафика.
ООО АйТи Фреш возьмёт это на себя
15+ лет опыта, 25+ постоянных клиентов, сертифицированные инженеры. Мы настроим, защитим и будем поддерживать вашу инфраструктуру — чтобы вы занимались бизнесом, а не серверами.