Nákup nového routeru od Mikrotiku - instalace

[Smitka]

Nejzákladnější bezpečnostní pravidla jsou následující (wan inteface je eth1-wan, a vnitrni sit 192.168.1.0/24 je pres eth2-lan):

Kód:

/ip firewall filter

add chain=input action=accept comment="povolit navazana spojeni" connection-state=established
add chain=input action=accept comment="povolit souviseji spojeni" connection-state=related
add chain=input action=drop comment="zahodit chybna TCP spojeni" connection-state=invalid protocol=tcp
add chain=input action=accept comment="povolit ping" protocol=icmp
add chain=input action=drop comment="zahodit prichozi z netu" in-interface=eth1-wan

Osobně jako základ používám následující konfiguraci, která se lépe rozšiřuje:

Kód:

/ip firewall filter

add chain=forward action=accept comment="povolit navazana spojeni" connection-state=established
add chain=forward action=accept comment="povolit souviseji spojeni" connection-state=related
add chain=forward action=drop comment="zahodit chybna TCP spojeni" connection-state=invalid protocol=tcp
add chain=forward action=accept comment="povolit lokalni sit" in-interface=eth2-lan src-address=192.168.1.0/24
add chain=forward action=log comment="logovani forward" disabled=yes log-prefix="DROP forward:"
add chain=forward action=drop comment="zahodit vse ostatni"

add chain=input action=accept comment="povolit navazana spojeni" connection-state=established
add chain=input action=accept comment="povolit souviseji spojeni" connection-state=related
add chain=input action=accept comment="povolit ping" protocol=icmp
add chain=input action=drop comment="zahodit chybna TCP spojeni" connection-state=invalid protocol=tcp
add chain=input action=accept comment="povolit lokalni sit" in-interface=eth2-lan src-address=192.168.1.0/24
add chain=input action=log comment="logovani input" disabled=yes log-prefix="DROP input:"
add chain=input action=drop comment="zahodit vse ostatni"

/ip firewall nat
add action=masquerade chain=srcnat out-interface=eth1-wan

Povolí ICMP (což můžu pak zakázat, jeslti to nechci, ale pro úvodní rozchození se to může hodit) a pak povolí navázaná a související spojení (dobré třeba pro FTP), povolí přístup na mikrotik z vnitřní sítě (to pak také omezuji). A udělá nat pro vnitřní síť.

Pak to jde dále zlepšovat různými pravidly na blokaci běžných útoků, blokování scanování portů atd.

Pokud jde o školení Mikrotik, tak je to jedna z věcí, které nabízíme Děláme i školení na Cisco, Linux a Microsoftí produkty.