Настройка Firewall в MikroTik, защита от DDOS атаки
РЕКОМЕНДАЦИЯ
Наша команда советует изучить углубленный курс по администрированию сетевых устройств MikroTik.
В курсе много лабораторных работ по итогам которых вы получите обратную связь.
После обучения вы получите диплом гос. образца РФ. Подробности и доступ к началу курса бесплатно тут.
В курсе много лабораторных работ по итогам которых вы получите обратную связь.
После обучения вы получите диплом гос. образца РФ. Подробности и доступ к началу курса бесплатно тут.
Настройка MikroTik Firewall
В корпоративных сетях настройка Firewall является обязательным условием для обеспечения необходимого уровня безопасности. В частных системах также возможны ситуации, когда несанкционированные внешние подключения способны вызвать отказ работы сетевого оборудования.
Внимание: неправильное применение инструкции может привести к потере доступа к роутеру MikroTik.
Перед началом настройки рекомендуется создать резервную копию конфигурации.
Перед началом настройки рекомендуется создать резервную копию конфигурации.
Рассматривается сценарий, при котором любой пакет без предварительного разрешения будет отклонён. Такая конфигурация также снижает нагрузку на процессор (CPU).
Правила обрабатываются сверху вниз, приоритет имеет правило с наименьшим номером.
Настройка выполняется в разделе IP → Firewall.
Правила обрабатываются сверху вниз, приоритет имеет правило с наименьшим номером.
Настройка выполняется в разделе IP → Firewall.
Разрешение установленных и связанных соединений для входящего и транзитного трафика
/ip firewall filter add action=accept chain=forward connection-state=established,related
/ip firewall filter add action=accept chain=in connection-state=established,relatedПравила доверенного доступа для локальной сети
/ip firewall filter
add action=accept chain=input in-interface=bridge1
add action=accept chain=forward in-interface=bridge1Разрешение ICMP-запросов с WAN-интерфейсов
/ip firewall filter add action=accept chain=in protocol=icmp in-interface=pppoe-out1Блокирование всех пакетов в состоянии invalid
/ip firewall filter add action=drop chain=forward connection-state=invalid
/ip firewall filter add action=drop chain=input connection-state=invalidУдалить все остальные пакеты
/ip firewall filter add action=drop chain=input
/ip firewall filter add action=drop chain=forwardПравила конфигурации Firewall в роутере MikroTik
Практический пример: маршрутизатор MikroTik hAP Lite с активными службами NAT (srcnat и dstnat), DHCP, Wi-Fi, Firewall и VPN-туннелем IPsec к аналогичной модели. Правила Firewall были внедрены после инцидентов со 100% загрузкой CPU, при которых роутер начинал работать с задержками и зависал.
Счётчики пакетов спустя 11 дней работы имеют следующий вид:
Счётчики пакетов спустя 11 дней работы имеют следующий вид:
[adminX@Gateway-2] > /ip firewall filter print
Flags: X - disabled, I - invalid, D - dynamic
0 D ;;; special dummy rule to show fasttrack counters
chain=forward action=passthrough
1 chain=forward action=fasttrack-connection connection-state=established,related log=no log-prefix=""
2 ;;; IPSec
chain=forward action=accept log=no log-prefix="" ipsec-policy=in,ipsec
3 chain=forward action=accept log=no log-prefix="" ipsec-policy=out,ipsec
4 ;;; Base-Exchange-Rules
chain=input action=accept connection-state=established log=no log-prefix=""
5 chain=forward action=accept connection-state=established log=no log-prefix=""
6 chain=forward action=accept src-address=192.168.3.0/24 log=no log-prefix=""
7 chain=forward action=accept connection-state=related log=no log-prefix=""
8 chain=input action=accept connection-state=related log=no log-prefix=""
9 ;;; Forward-Access
chain=forward action=accept protocol=tcp in-interface=pppoe-out dst-port=8000 log=no log-prefix=""
10 ;;; Remote-Access
chain=input action=accept src-address-list=Remote-Access log=no log-prefix=""
11 ;;; ICMP
chain=input action=accept protocol=icmp log=no log-prefix=""
12 ;;; Drop-Invalid
chain=input action=drop connection-state=invalid log=no log-prefix=""
13 chain=forward action=drop connection-state=invalid log=no log-prefix=""
14 ;;; Drop-Other
chain=input action=drop in-interface=pppoe-out log=no log-prefix=""
15 chain=forward action=drop log=no log-prefix=""Remote-Access — список ip-адресов, с которых разрешено внешнее подключение.
Методы защиты MikroTik от DDoS-атак
В первой части статьи правила Firewall имеют строгую структуру и могут быть описаны следующим образом:
Разрешено (Accept):
- все ранее установленные подключения (если соединение было разрешено, оно остаётся доступным);
- запросы из локальной сети (полное доверие);
- ICMP-запросы (PING) с внешней сети в диагностических целях.
Запрещено (Drop):
- пакеты в состоянии invalid;
- все остальные пакеты, не соответствующие указанным правилам.
Так как DDoS-атаки чаще всего выполняются с использованием ICMP-запросов, именно этот вид трафика остаётся единственным, на который роутер MikroTik отвечает по цепочке Input. Все остальные пакеты будут отклонены.
В качестве способа защиты от DDoS-атаки рассматривается сценарий с использованием фильтра по количеству новых подключений в цепочках Input и Forward.
/ip firewall filter
add action=jump chain=forward connection-state=new in-interface=pppoe-out jump-target=Pre-DDoS
add action=jump chain=input connection-state=new in-interface=pppoe-out jump-target=Pre-DDoS
add action=drop chain=forward connection-state=new src-address-list=BAN-DDoS
add action=drop chain=input connection-state=new src-address-list=BAN-DDoS
add action=return chain=Pre-DDoS dst-limit=32,32,src-address/10s
add action=add-src-to-address-list address-list=BAN-DDoS address-list-timeout=14d chain=Pre-DDoSРЕКОМЕНДАЦИЯ
Вы хорошо разбираетесь в Микротиках? Или впервые недавно столкнулись с этим оборудованием и не знаете, с какой стороны к нему подступиться? В обоих случаях вы найдете для себя полезную информацию в углубленном курсе «Администрирование сетевых устройств MikroTik». В курсе много практических лабораторных работ по результату выполнения которых вы получите обратную связь. После окончания обучения вы получите диплом гос. образца РФ. Подробности и доступ к началу курса бесплатно тут.