MikroTik Firewall опис та базове налаштування від UniSI - Інтернет-магазин Юніверс
Міжмережевий екран, мережевий екран, файрвол або брандмауер — це комплекс апаратних та програмних засобів у комп'ютерній мережі, що здійснює контроль і фільтрацію мережевих пакетів, що проходять через нього, відповідно до заданих правил.
Основним завданням мережевого екрана є захист мережі чи її вузлів від несанкціонованого доступу. Також мережні екрани часто називають фільтрами, тому що їхнє основне завдання - не пропускати (фільтрувати) пакети, які не підходять під критерії, визначені в конфігурації.
Файрвол Mikrotik RouterOS має потужні функції та включає наступні можливості:
Основні принципи фільтрації
Оперування файрвол здійснюється за допомогою правил. Правило визначає вираз, який говорить роутеру, що робити з індивідуальним IP-пакетом. Кожне правило складається з двох частин: перше описує параметри, за якими повинні класифікуватися пакети, що приходять, друге відповідає за дію над пакетом. Правила для кращого управління організовані в ланцюжки.
Пристрій фільтра за замовчуванням має три ланцюжки: input, forward і output, які відповідають за той, що приходить, переміщується всередині роутера і вихідний трафік відповідно. Користувач може додати нові ланцюжки, якщо це буде потрібно.
Під ці ланцюжки трафік за замовчуванням не потрапляє. Для цього використовується метод action=jump з параметром jump-target в одному з встановлених ланцюжків.
Ланцюжки фільтра
При попаданні пакета в один з ланцюжків правила застосовуються від верхнього до нижнього. Якщо пакет підпадає під критерій одного з правил, над ним виконується вказана в правилі дія і цей пакет не підпадає під дію інших правил з цього ланцюжка.(Виняток становить лише дію passthrough). Якщо пакет не підпадає під дію жодного правила ланцюжка, до нього за замовчуванням застосовується дія Accept.
Опис параметрів:
chain (forward input output name)– вказує ланцюжок, у якому слід помістити правило. Різні типи трафіку проходять через різні ланцюжки, тому будьте в курсі вибору, вказуючи те чи інше значення цього параметра. Якщо вказане значення ланцюжка не збігається з жодним із існуючих, система створить нове правило із зазначеним ім'ям.
connection-bytes (integer-integer)– застосовувати правило, якщо кількість переданих байт через підключення перевищила вказане значення. 0 – не обмежено, приклад: connection-bytes=2000000-0 спрацює у разі, якщо кількість даних, переданих через відкрите підключення перевищила 2MB;
connection-mark (name)–пакети, що потрапили під дію правил у mangle та названі відповідно до параметра connection mark
connection-rate (Integer 0..4294967295)– Connection Rate is firewall стріляльник, що дозволяє додаткову функцію, засновану на сучасній швидкості зв'язку.
connection-state (established invalid new related)– інтерпретація стану підключення у вигляді аналізу даних з connection tracking .established– пакет, що належить вже встановленому підключенню. Наприклад відповідь від маршрутизатора.invalid– пакет, який може бути ідентифікований з будь-якої причини. Наприклад це можливо переповнення пам'яті та ICMP помилки. До таких пакетів потрібно застосовувати дію DROPnew– пакет, який починає створення TCP підключенняrelated– запитаний пакет, який належить уже встановленим підключенням. НаприкладICMP помилки, або пакет, який починає передачу даних за протоколом FTP( /ip firewall service-port)
connection-type (ftp gre h323 irc mms pptp quake3 tftp)– визначення типу підключення, що базується на використанні даних з connection tracking. Конфігурування здійснюється у /ip firewall service-port
content (text)– вміст текстового пакету
dst-port (integer: 0..65535)– інтервал портів призначення
fragment (yes no)- Matches fragmented packets. First (starting) fragment does not count. Якщо з'єднання tracking is enabled there will be no fragments as system automatically assembles every packet
icmp-options (integer:integer)– збіг полів ICMP Type:Code
in-bridge-port (name)– Actual interface the packet has connected the router, if incoming interface is bridge. Works тільки якщо use-ip-firewall is enabled in bridge settings.
in-interface (name)– інтерфейс, з якого пакет надійшов у маршрутизатор
ipsec-policy (in out, ipsec none)- Matches the policy used by IpSec. Value is written in following format: direction, policy. Direction is Used to select whether to match the policy used for decapsulation or the policy that will be used for encapsulation.in- правильний в ЗАПРОВАДЖЕННЯ, INPUT і FORWARD chainsout- правильний в POSTUPOUTING, OUTPUT і FORWARD chainsipsec- Matches if the packet is subject to IPsec processing;none- matches ipsec transport packet. Наприклад, якщо router receives Ipsec вказує на Gre packet, то мова ipsec-policy=in,ipsec буде передача Gre packet, але мова ipsec-policy=in,none буде друк ESP packet.
ipv4-options (any loose-source-routing no-record-route no-router-alert no-source-routing no-timestamp none record-route router-alert strict-source-routing timestamp)– збіг параметрів заголовка ipv4any– збігається принаймні один пакет із встановленою ipv4 опцієюloose-source-routing– пакети з опцією loose source routing. Ця опція використовується для направлення інтернет дейтаграм заснованих на інформації, що постачається джереломno-record-route– пакети з опцією no record route. Ця опція використовується для направлення інтернет дейтаграм заснованих на інформації, що постачається джереломno-router-alert- збіг пакетів з опцією no router alterno-source-routing- збіг пакетів з опцією no source routingno-timestamp- збіг пакетів з опцією with no timestamprecord-route- збіг пакетів з опцією record routerouter-alert- збіг пакетів з опцією router alterstrict-source-routing- збіг пакетів з опцією strict source routingtimestamp- збіг пакетів з штамп часу
jump-target (forward input output name)– ім'я цільового ланцюжка куди має бути відправлений пакет при використанні action=jump.
layer7-protocol (name)– Layer7 filter name визначено в layer7 protocol menu.
limit (integer/time,integer)- обмежує потік пакетів. Використовується для зменшення кількості повідомлень у логахCount– максимальна середня кількість пакетів, вказана в пакетах за секунду (PPS Packet Per Second) за час у опції TimeTime– вказує інтервал часу, за який буде проводитися підрахунок середньої кількості пакетівBurst– кількість пакетів при піку
log-prefix (text)- всі повідомлення, що записуються в лог, будуть мати цейпрефікс. Використовується разом із опцією action=log
nth (integer,integer: 0..15,integer)- збіг кожного n-ного пакета, що потрапив у правило. Всього доступно 16 лічильниківEvery- збіг кожного Every+1th пакета. Наприклад, якщо Every=1 тоді під дію правила потрапить кожен другий пакетCounter– вказує який лічильник використовуватиметься. Лічильник збільшується на 1 з кожним новим правилом, де вказана опція nthPacket-збігається з номером даного пакета. Значення з очевидних причин має бути між нулем і Every. Якщо опція використовується для даного лічильника, тоді має бути принаймні Every+1 правило з цією опцією, що охоплює всі значення між 0 і Every включно
out-bridge-port (name)– Actual interface the packet is leaving the router, if outgoing interface is bridge. Works тільки якщо use-ip-firewall is enabled in bridge settings.
out-interface (name)– інтерфейс, через який пакети залишатимуть маршрутизатор
p2p (all-p2p bit-torrent blubster direct-connect edonkey fasttrack gnutella soulseek warez winmx)- збіг пакетів протоколів peer-to-peer (P2P)
packet-mark (no-mark string)– ланцюжок пакетів, промаркований у розділі mangle файрвола
packet-size (integer[-integer]:0..65535)– розмір пакету в байтахMin– вказує початок діапазону розміру пакетаMax- вказує кінець діапазону розміру пакета
пер-connection-classifier (ValuesToHash:Denominator/Remainder)– PCC стріляльник може дозволити divide divide traffic do equal streams з можливістю до keep packets with specific set of options in one particular stream.
phys-in-interface (name)– фізичний інтерфейс, вказаний якпорту мосту, яким пакет надійшов у маршрутизатор
phys-out-interface (name)– фізичний інтерфейс, вказаний як порт мосту, яким пакет вийде з маршрутизатора
port (integer[-integer]: 0..65535)– Matches if any (source or destination) port matches specified list of ports or port ranges. Applicable only if protocol is TCP or UDP
protocol (ddp egp encap ggp gre hmp icmp idrp-cmtp igmp ipencap ipip ipsec-ah ipsec-esp iso-tp4 ospf pup rdp rspf st tcp udp vmtp xns-idp xtp integer)Вказується ім'я протоколу чи його номер. Ви повинні вказати цю опцію, щоб отримати доступ до специфічних параметрів кожного протоколу.