Задать вопрос
@DVoropaev
Ставлю + к карме на хабре за ответы на вопросы

Правильно ли я обезопасил свой микротик?

Цель: запретить доступ к сервисам управления mikrotik из интернет, при этом оставив доступ из локальной сети. Микротик используется как домашний роутер, wifi запаролен, учетная запись тоже с паролем, поэтому из локальной сети угроз нет.
Для этого я настроил firewall следующим образом:
5eebc9f928651336086388.png
bridge-local - все интерфейсы локальной сети.
ethernet1 - через этот интерфейс идет подключение к провайдеру.
  • Вопрос задан
  • 292 просмотра
Подписаться 2 Простой Комментировать
Пригласить эксперта
Ответы на вопрос 2
karabanov
@karabanov
Системный администратор
Так то да, но если нет опыта настройки фаирвола логичнее использовать дефолтные, так как в свежих версиях RouterOS они хороши.
Ответ написан
CityCat4
@CityCat4
//COPY01 EXEC PGM=IEBGENER
Нет.

Нет, поставленная задача решена - извне ничего не подключится. От слова совсем.

То есть:
- нет DNS на микротике
- нет обновлений
- нет VPN

ну то есть нет никакого трафика, приходящего снаружи в INPUT :) Примерно как "отрубить руку, обнаружив прыщ"

Отключите Ваше сверх-правило и сделайте что -то типа:
/ip service
set telnet disabled=yes
set ftp address=10.5.2.0/24 port=19701
set www disabled=yes
set ssh address=10.5.2.0/24
set www-ssl address=10.5.2.0/24 certificate="RB450G cert with key" disabled=no port=19703
set api disabled=yes
set winbox address=10.5.2.0/24
set api-ssl certificate="RB450G cert with key"

где вместо 10.5.2.0/24 ессно Ваша локалка и номера Ваших портов (хотя можете и эти оставить). Это отключит Вам telnet и http, закроет ssh, https и winbox. Кроме того ftp и https переместятся на порты 19701 и 19703 соответственно.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы