Как настроить запреты служб на микротике снаружи?

Question

[Tpy6okyp]

Как на микротике, в роутерОС, настроит запреты на коннекты снаружи(не из сети роутера)?

В данный момент отключил все сервисы, кроме ssh и www в IP- Services.
Какие службы можно спокойно отключить, и что ещё лучше сделать?
Что нужно настроить в файрволе, т.к. там достаточно много всего- и настроенные фильтры по дефолту, и сервисные порты и пр.?

Все через web, не через консоль.

Answer 1

[Александр Романов]

Фаервола, который есть в конфигурации по умолчанию, достаточно, чтобы защитить Вас от атак снаружи, при условии что ether1 - это WAN-интерфейс. Если это не WAN - тогда поменяйте интерфейс в drop-правилах на необходимый. А так - отключайте неиспользуемые службы. Я для себя всегда оставляю только winbox и ssh, всё остальное нафиг (ну ладно, иногда нужен ftp). Цепочка для фильтрации входящего (направленного непосредственно к микротику) трафика - это input. А вообще - учите мат.часть, сходите, отучитесь на MTCNA, получите хорошее представление о принципах работы фаервола.