Как правильно настроить mikrotik firewall?

Сейчас пытаюсь разобраться как настроить firewall на mikrotik-е, чтобы:
1. Можно было безопасно бэкапить данные с сервера1 на сервер2 с помощью Hyper Backup по rsync с ssh через интернет.
2. Можно было пользоваться Resilio Sync для синхронизации данных между компьютерами через интернет.
3. Можно было выходить в интернет с компьютеров в локальной сети.
4. Можно было скачивать торренты на компьютеры в локальной сети.
5. Можно было получить доступ к роутеру через Winbox и по https из локальной сети.

Настройки firewall такие:

/ip firewall filter

# Включение анализа сканера портов
1. add action=add-src-to-address-list address-list=port_scanners address-list-timeout=1w3d chain=input comment="NMAP NULL scan" protocol=tcp tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg
2. add action=add-src-to-address-list address-list=port_scanners address-list-timeout=1w3d chain=input comment="ALL/ALL scan" protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg
3. add action=add-src-to-address-list address-list=port_scanners address-list-timeout=1w3d chain=input comment="FIN/PSH/URG scan" protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack
4. add action=add-src-to-address-list address-list=port_scanners address-list-timeout=1w3d chain=input comment="SYN/RST scan" protocol=tcp tcp-flags=syn,rst
5. add action=add-src-to-address-list address-list=port_scanners address-list-timeout=1w3d chain=input comment="SYN/FIN scan" protocol=tcp tcp-flags=fin,syn
6. add action=add-src-to-address-list address-list=port_scanners address-list-timeout=1w3d chain=input comment="NMAP FIN Stealth scan" protocol=tcp tcp-flags=fin,!syn,!rst,!psh,!ack,!urg
7. add action=add-src-to-address-list address-list=port_scanners address-list-timeout=1w3d chain=input comment="Port scanners to list" protocol=tcp psd=21,3s,3,1

# Разрешение Fasttrack
8. add action=fasttrack-connection chain=forward comment=Fasttrack connection-state=established,related

# Разрешение всех установленных и зависимых подключений
9. add action=accept chain=input connection-state=established,related
10. add action=accept chain=forward connection-state=established,related

# Разрешение доступа к серверу по SSH
11. add action=accept chain=forward dst-port=22 in-interface=ether1 protocol=tcp src-address=ip_внешнего_сервера_с_данными
12. add action=accept chain=forward dst-port=22 in-interface=ether1 protocol=udp src-address=ip_внешнего_сервера_с_данными

# Разрешение доступа к серверу по RSYNC
13. add action=accept chain=forward dst-port=873 in-interface=ether1 protocol=tcp src-address=ip_внешнего_сервера_с_данными
14. add action=accept chain=forward dst-port=873 in-interface=ether1 protocol=udp src-address=ip_внешнего_сервера_с_данными

# Разрешение доступа для torrent на комп1
15. add action=accept chain=forward dst-port=11111 in-interface=ether1 protocol=tcp
16. add action=accept chain=forward dst-port=11111 in-interface=ether1 protocol=udp

# Разрешение доступа для torrent на комп2
17. add action=accept chain=forward dst-port=22222 in-interface=ether1 protocol=tcp
18. add action=accept chain=forward dst-port=22222 in-interface=ether1 protocol=udp

# Разрешение доступа для Resilio Sync на комп2
19. add action=accept chain=forward dst-port=33333 in-interface=ether1 protocol=tcp
20. add action=accept chain=forward dst-port=33333 in-interface=ether1 protocol=udp

# Разрешение ICMP с защитой от флуд-пинг
21. add action=accept chain=input in-interface=ether1 limit=50/5s,2:packet protocol=icmp
22. add action=accept chain=forward in-interface=ether1 limit=50/5s,2:packet protocol=icmp

# Разрешение выхода в интернет для локальной сети
23. add action=accept chain=forward src-address=192.168.100.0/24 in-interface=bridge

# Разрешение доступа к роутеру по Winbox из локальной сети
24. add action=accept chain=input protocol=tcp in-interface=bridge dst-port=8291

# Разрешение доступа к роутеру по HTTPS из локальной сети
25. add action=accept chain=input protocol=tcp in-interface=bridge dst-port=443

# Запрет транзита "битых" и "неправильных" пакетов
26. add action=drop chain=input connection-state=invalid
27. add action=drop chain=forward connection-state=invalid

# Запрет BOGON
28. add action=drop chain=input in-interface=ether1 src-address-list=BOGON
29. add action=drop chain=forward in-interface=ether1 src-address-list=BOGON

# Включение защиты от сканера портов
30. add action=drop chain=input src-address-list=port_scanners
31. add action=drop chain=forward src-address-list=port_scanners

# Запрещаем все остальное
32. add chain=input action=drop in-interface=ether1
33. add chain=forward action=drop in-interface=ether1

Вроде все работает, но боюсь накосячить.

Все ли правильно?

Спасибо.
  • Вопрос задан
  • 6773 просмотра
Решения вопроса 3
martin74ua
@martin74ua Куратор тега Компьютерные сети
Linux administrator
в принципе все правильно, я бы еще upnp включил. Тогда бы пробросы портов для торрентов и подобного софта делались автоматически
Ответ написан
@I_Rusakov
Вот эти правила будут только грузить проц.
1-7 правило сканер портов, в микротике есть функция PSD можно все в одно правило запихнуть.
15-20 правила разрешены и в 23
с дропом инвалид тоже надо смотреть, он может и лишнее дропнуть
Ответ написан
Пригласить эксперта
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы