Как правильно настроить mikrotik firewall?

Question

[Антон Николишин]

Сейчас пытаюсь разобраться как настроить firewall на mikrotik-е, чтобы:
1. Можно было безопасно бэкапить данные с сервера1 на сервер2 с помощью Hyper Backup по rsync с ssh через интернет.
2. Можно было пользоваться Resilio Sync для синхронизации данных между компьютерами через интернет.
3. Можно было выходить в интернет с компьютеров в локальной сети.
4. Можно было скачивать торренты на компьютеры в локальной сети.
5. Можно было получить доступ к роутеру через Winbox и по https из локальной сети.

Настройки firewall такие:

/ip firewall filter

# Включение анализа сканера портов
1. add action=add-src-to-address-list address-list=port_scanners address-list-timeout=1w3d chain=input comment="NMAP NULL scan" protocol=tcp tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg
2. add action=add-src-to-address-list address-list=port_scanners address-list-timeout=1w3d chain=input comment="ALL/ALL scan" protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg
3. add action=add-src-to-address-list address-list=port_scanners address-list-timeout=1w3d chain=input comment="FIN/PSH/URG scan" protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack
4. add action=add-src-to-address-list address-list=port_scanners address-list-timeout=1w3d chain=input comment="SYN/RST scan" protocol=tcp tcp-flags=syn,rst
5. add action=add-src-to-address-list address-list=port_scanners address-list-timeout=1w3d chain=input comment="SYN/FIN scan" protocol=tcp tcp-flags=fin,syn
6. add action=add-src-to-address-list address-list=port_scanners address-list-timeout=1w3d chain=input comment="NMAP FIN Stealth scan" protocol=tcp tcp-flags=fin,!syn,!rst,!psh,!ack,!urg
7. add action=add-src-to-address-list address-list=port_scanners address-list-timeout=1w3d chain=input comment="Port scanners to list" protocol=tcp psd=21,3s,3,1

# Разрешение Fasttrack
8. add action=fasttrack-connection chain=forward comment=Fasttrack connection-state=established,related

# Разрешение всех установленных и зависимых подключений
9. add action=accept chain=input connection-state=established,related
10. add action=accept chain=forward connection-state=established,related

# Разрешение доступа к серверу по SSH
11. add action=accept chain=forward dst-port=22 in-interface=ether1 protocol=tcp src-address=ip_внешнего_сервера_с_данными
12. add action=accept chain=forward dst-port=22 in-interface=ether1 protocol=udp src-address=ip_внешнего_сервера_с_данными

# Разрешение доступа к серверу по RSYNC
13. add action=accept chain=forward dst-port=873 in-interface=ether1 protocol=tcp src-address=ip_внешнего_сервера_с_данными
14. add action=accept chain=forward dst-port=873 in-interface=ether1 protocol=udp src-address=ip_внешнего_сервера_с_данными

# Разрешение доступа для torrent на комп1
15. add action=accept chain=forward dst-port=11111 in-interface=ether1 protocol=tcp
16. add action=accept chain=forward dst-port=11111 in-interface=ether1 protocol=udp

# Разрешение доступа для torrent на комп2
17. add action=accept chain=forward dst-port=22222 in-interface=ether1 protocol=tcp
18. add action=accept chain=forward dst-port=22222 in-interface=ether1 protocol=udp

# Разрешение доступа для Resilio Sync на комп2
19. add action=accept chain=forward dst-port=33333 in-interface=ether1 protocol=tcp
20. add action=accept chain=forward dst-port=33333 in-interface=ether1 protocol=udp

# Разрешение ICMP с защитой от флуд-пинг
21. add action=accept chain=input in-interface=ether1 limit=50/5s,2:packet protocol=icmp
22. add action=accept chain=forward in-interface=ether1 limit=50/5s,2:packet protocol=icmp

# Разрешение выхода в интернет для локальной сети
23. add action=accept chain=forward src-address=192.168.100.0/24 in-interface=bridge

# Разрешение доступа к роутеру по Winbox из локальной сети
24. add action=accept chain=input protocol=tcp in-interface=bridge dst-port=8291

# Разрешение доступа к роутеру по HTTPS из локальной сети
25. add action=accept chain=input protocol=tcp in-interface=bridge dst-port=443

# Запрет транзита "битых" и "неправильных" пакетов
26. add action=drop chain=input connection-state=invalid
27. add action=drop chain=forward connection-state=invalid

# Запрет BOGON
28. add action=drop chain=input in-interface=ether1 src-address-list=BOGON
29. add action=drop chain=forward in-interface=ether1 src-address-list=BOGON

# Включение защиты от сканера портов
30. add action=drop chain=input src-address-list=port_scanners
31. add action=drop chain=forward src-address-list=port_scanners

# Запрещаем все остальное
32. add chain=input action=drop in-interface=ether1
33. add chain=forward action=drop in-interface=ether1

Вроде все работает, но боюсь накосячить.

Все ли правильно?

Спасибо.

Comments

[Ульрих]

Боитесь накосячить - наймите специалиста

[Антон Николишин]

Не всегда доверяю специалистам / сеть домашняя / интересно разобраться самому.
Но если будет что-то более сложное, прислушаюсь к Вашему совету.

Answer 1

[Руслан Федосеев]

в принципе все правильно, я бы еще upnp включил. Тогда бы пробросы портов для торрентов и подобного софта делались автоматически

Comments

[Руслан Федосеев]

Ну если вы хотите в домашней сети сидеть и отслеживать кому какой порт нужен - флаг вам в руки.
Я предпочитаю не тратить время на настройку того, что вполне адекватно может настроиться само.
Хочу смотреть фильмы дома на любом устройстве - dlna. Хочу чтобы поставил на рабочий ноут сип клиента - и он заработал. А ходить на роутер и что то там настраивать - а смысл?

[Vladimir Zhurkin]

poisons: Оно вредно, когда производитель кладет болт на спеки и забивает на прошивки.
С учетом того, что тики сами пишут модулю, к upnp в плане безопастности нет претензий. Естественно речь идет со стороны WAN.

[Vladimir Zhurkin]

poisons:

Вы слишком передергиваете.
Частью ботнета можно стать и без upnp и upnp в общем не сколько не облегчает настройку.
В сети столько дырявых dlink роутеров, которые имеют дырку при запросе обычного http curl например.
Что http дырявое решето ? :) Нет , кривые руки сами знаете где.

Поэтому если вам очень хочется открывать порты ручками в сетки на over 1000 человек, мне сложно вам отказать. Мне проще настроить мониторинг и сканер трафика и давать по башке тем, кто подхватил бота/вирус или просто решил поиграть в хакера.

[Руслан Федосеев]

poisons: Тогда я вам напомню - самый надежный компьютер - из бетона. Без примесей кремния и германия.

[Антон Николишин]

poisons: Руслан Федосеев: Vladimir Zhurkin: Спасибо за совет. upnp включен. Пробросы портов для торрентов и прочего софта убрал.
PS. Это домашняя сеть и безопасность не на столько важна, чтоб для каждой программы ручками порты открывать.

[Руслан Федосеев]

Учтите что это не золотая пуля. Обязательно найдется софт, который не умеет upnp. Так что пусть upnp работает но если что то не заработает - пробрасывайте вручную

[Vladimir Zhurkin]

poisons: Не надо. При включенном upnp все создается автоматом.
В Nat у вас появится правило, которые будет сгенерировано автоматически.

[Vladimir Zhurkin]

poisons: Волшебники, пони и единороги.



и да, например mikrotik не имел (по крайне мере на тот момент) проблемы с upnp в отличие от других

www.opennet.ru/opennews/art.shtml?num=40922

[Vladimir Zhurkin]

poisons: а там стандартные настройки.
Хотя если вы мазахист настройки еще и forward внутри сети, то могу просто быть за вас рад.



P.S. Этот mikrotik просто для игр, поэтому тут firewall default.

[Vladimir Zhurkin]

poisons: те правило 8 и 10 вы решили игнорировать ?
Эти правило у меня 4 и 5.
ну а 7 правило, то же правило что и 33. Ваш КЭП.

[Антон Николишин]

Vladimir Zhurkin: poisons:
Спасибо за рекомендации!
upnp c правилами 8 и 10 и правилом 33. add chain=forward action=drop in-interface=ether1 вроде работает нормально: у qBittorent-а статус в сети, все скачивается/раздается, Resilio Sync синхронизирует, Skype звонит.

Vladimir Zhurkin:
То есть 7 правило можно убрать?

[Vladimir Zhurkin]

Антон Николишин:
На ваше усмотрение.
Обычно хватит

add action=drop chain=forward comment=\
"defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
connection-state=new in-interface=ether1

Кстати у qbittorent баг вроде и он не открывает порты по unpn/nat-pmp :)
Ну это просто так к слову.

[Антон Николишин]

Vladimir Zhurkin:
Спасибо.
Проблема с qbittorent тут:
https://github.com/qbittorrent/qBittorrent/issues/6552
Проявляется не у всех. У меня вроде все работает.

[Vladimir Zhurkin]

Антон Николишин: Ну я к тому, что она есть.

[Vladimir Zhurkin]

poisons: Специально для вас



Ни одно правило не попало в drop. Счетчик по 0.

[Vladimir Zhurkin]

и да показ работы skype, а то скажите, что скайп не работал, порядок планет не тот итд. Ну а ссылку да, почитайте , там много полезной инфы по iptables в частности.

[Антон Николишин]

Vladimir Zhurkin: poisons:
Все-таки странная штука получается. upnp включен. Отдельных правил в NAT для qbittorenta нет. Без правил firewall-а для qbittorent-а:
add action=accept chain=forward dst-port=11111 in-interface=ether1 protocol=tcp
add action=accept chain=forward dst-port=11111 in-interface=ether1 protocol=udp
проброс порта не работает, пишет - проблемы с сетью. С вышеуказанными правилами - все в порядке.
При этом Skype и Resilio Sync работают без каких-либо отдельных правил в firewall с включенным upnp.
Проблема самого qbittorent-а?

При этом transmission, расположенный на nas-сервере synology требует отдельного правила и в NAT, и в firewall.

[Vladimir Zhurkin]

Проблема самого qbittorent-а?

Да. Хотя он все равно должен работать.

При этом transmission,

transmission по умолчанию вроде не использует upnp.

Смотри по счетчикам, какое правило у тебя срабатывает.
Например правило Bogon и PortScanner я бы ставил выше. В первых рядах.
И логично его убрать из forward. Сканер портов конечно по желанию, но для Home сети я бы убрал. Вообще анализ сканирование лучше делать не средствами mikrotik.(внутри сети)

Правило >Разрешение выхода в интернет для локальной сети
Становится бессмысленно, так как у тебя два других правило разрешают соединение.
См мои скриншоты.

[Антон Николишин]

Vladimir Zhurkin: Спасибо!
Сканер оставил, так как он неплохо работает.

Правило "Разрешение выхода в интернет для локальной сети" я криво назвал. На самом деле - это разрешение внутри локальной сети:
add action=accept chain=forward src-address=192.168.100.0/24 in-interface=bridge
То есть я разрешаю forward с адресов локальной сети (src-address=192.168.100.0/24) в саму локальную сеть (in-interface=bridge).
Без этого правила нет доступа к другим компьютерам и серверам внутри сети.

[Vladimir Zhurkin]

Антон Николишин: его нет, так как ты перекрыл правилом bogon forward скорее всего, так как там указываются "частные сети" и правило обычно не ставят на forward.
Могу скинуть default firewall mikrotik, что бы его уже нормально накрутить.

Answer 2

[I_Rusakov]

Вот эти правила будут только грузить проц.
1-7 правило сканер портов, в микротике есть функция PSD можно все в одно правило запихнуть.
15-20 правила разрешены и в 23
с дропом инвалид тоже надо смотреть, он может и лишнее дропнуть

Comments

[Антон Николишин]

Спасибо!
Не пойму как их объединить в одно правило. Там же разная комбинация tcp флагов. Посоветуйте пожалуйста как?
В 15-20 правиле я разрешаю доступ к компьютерам локальной сети из интернета. А в 23 правиле я же разрешаю доступ из локальной сети (src-address=192.168.100.0/24 in-interface=bridge). Или это не правильно?

[I_Rusakov]

Если вы хотите по tcp флагам добавлять в адрес лист то, ок! PSD делает следующие, если хост обратился к вам за такой то интервал, на сколько-то портов, за столько-то сек, то какой-то action.

По остальным правилам завтра подскажу...

[I_Rusakov]

Скиньте правила NAT

[Антон Николишин]

I_Rusakov:
/ip firewall nat
add action=masquerade chain=srcnat comment=masquerade out-interface=ether1
add action=masquerade chain=srcnat comment=vpn out-interface=vpn.vpn
add action=dst-nat chain=dstnat comment="сервер_для_бэкапов" dst-address=мой_ip dst-port=873 protocol=tcp src-address=ip_внешнего_сервера_с_данными to-addresses=192.168.100.101 to-ports=873
add action=dst-nat chain=dstnat comment="сервер_для_бэкапов" dst-address=мой_ip dst-port=873 protocol=udp src-address=ip_внешнего_сервера_с_данными to-addresses=192.168.100.101 to-ports=873
add action=dst-nat chain=dstnat comment="сервер_для_бэкапов" dst-address=мой_ip dst-port=22 protocol=tcp src-address=ip_внешнего_сервера_с_данными to-addresses=192.168.100.101 to-ports=22
add action=dst-nat chain=dstnat comment="сервер_для_бэкапов" dst-address=мой_ip dst-port=22 protocol=udp src-address=ip_внешнего_сервера_с_данными to-addresses=192.168.100.101 to-ports=22

upnp включен.

Спасибо!

[I_Rusakov]

Смотрите, судя по этим правилам
# Разрешение доступа для torrent на комп1
15. add action=accept chain=forward dst-port=11111 in-interface=ether1 protocol=tcp
16. add action=accept chain=forward dst-port=11111 in-interface=ether1 protocol=udp

# Разрешение доступа для torrent на комп2
17. add action=accept chain=forward dst-port=22222 in-interface=ether1 protocol=tcp
18. add action=accept chain=forward dst-port=22222 in-interface=ether1 protocol=udp

# Разрешение доступа для Resilio Sync на комп2
19. add action=accept chain=forward dst-port=33333 in-interface=ether1 protocol=tcp
20. add action=accept chain=forward dst-port=33333 in-interface=ether1 protocol=udp

Вы разрешаете прохождения трафика через цепочку forward и входящий интерфейс ether1 (это приход правильно?), но судя по NAT правилам, трафик не дойдет. Допустим я пакет из вне, я хочу достучаться до компа в вашей локалке, я знаю о наличии ether1, но о наличии вашей локальной сети я не узнаю без правил dst-nat.

[I_Rusakov]

Я бы их отключил и попробовал запустить торент.

Answer 3

[Vladimir Zhurkin]

Все ли правильно?

С виду да.

Рекомендую к чтению:

https://spw.ru/solutions/nastrojka_filtracii_trafi...
https://spw.ru/solutions/nastrojka_fajrvolla_na_mi...
https://spw.ru/solutions/nastrojka_filtracii_trafi...
https://spw.ru/solutions/nastrojka_filtracii_trafi...

https://forum.mikrotik.com/viewtopic.php?t=83387

Comments

[Антон Николишин]

Спасибо за ссылки. Первые 4 я внимательно читал. Да и базовую настройку mikrotik-а делал по этим инструкциям и статье на хабре. Просто у меня профессия не связана с it и есть только базовые представления о работе сети. Поэтому я иногда подтупливаю, когда пытаюсь настроить что-то более сложное.