Как правильно настроить и защитить Mikrotik ? Какую модель выбрать и какие правила нужны для обеспеч

[Vovcik]

Кто пользуется данным оборудованием (Mikrotik) что может посоветовать какую модель лучше приобрести и какие правила нужны для обеспечение более менее нормальной работы сервера?
Если можно список правил или настроек для безопасности.

Охо сколько ответов , море рук и куча спецов. Может всетаки поможете кто имел дело, или никто не пользуется?

[WakeUp]

оборудование любое, чем дороже тем лучше со всем справится... главное чтоб на RouterOS было. правила обычные, как в любом файрволе.

[cokpat]

оборудование любое, чем дороже тем лучше со всем справится... главное чтоб на RouterOS было. правила обычные, как в любом файрволе.

ну скажем так, не совсем обычные для админов которые форум засрали одними вопросами

например

/ip firewall nat add chain=dstnat action=dst-nat protocol=tcp dst-port=80 to-address=АДРЕС_КУДА_НАТим

и сейчас будет встерчный вопрос, а что с этим делать ))

[WakeUp]

Это строчка к защите не имеет отношение Это NAT. Перенаправление соединения, в данном случае на web сервер.

В принципе можно простые правила дать, которые нужны точно, а вот дальш уже по своему усмотрению, смотря что хочешь.
И так, запускаем консоль и пишем:

Код Выделить Развернуть

/ip firewall filterРазрешаем пинг, если надо:

Код Выделить Развернуть

add chain=input protocol=icmp action=accept comment='Allow Ping'
add chain=forward protocol=icmp action=accept
дальше не буду пояснять, разрешаем успешные соединения и т.д.

Код Выделить Развернуть

add chain=input connection-state=established action=accept comment='Accept established connections'
add chain=forward connection-state=established action=accept
add chain=input connection-state=related action=accept comment='Accept related connections'
add chain=forward connection-state=related action=accept
add chain=input connection-state=invalid action=drop comment='Drop invalid connections'
add chain=forward connection-state=invalid action=drop
Разрешаем UDP если надо, например skype, torrent и т.д.

Код Выделить Развернуть

add chain=input protocol=udp action=accept comment='Allow UDP'
add chain=forward protocol=udp action=acceptДальше, допустим ваша локалка 192.168.0.0/24 и master интерфей локалки ether2. Разрешаем ей выход в интернет:

Код Выделить Развернуть

add chain=forward src-address=192.168.0.0/24 in-interface=ether2 action=accept comment='Access to Internet from local network'Разрешаем доступ к роутеру только с локалки:

Код Выделить Развернуть

add chain=input src-address=192.168.0.0/24 action=accept comment='Access to Mikrotik only from our local network'Запрещаем всё остальное, т.е. что не разрешено, то запрещено:

Код Выделить Развернуть

add chain=input action=drop comment='All other drop'
add chain=forward action=dropХотите что-то ещё разрешить, то добавляйте над этими правилами.


Ну и в качестве бонуса пример переброски для сервера mu портов. Например сервер у нас на ip 192.168.0.5:

Код Выделить Развернуть

/ip firewall nat add chain=dstnat action=dst-nat to-addresses=192.168.0.5 protocol=tcp dst-port=44405,55901,55903,55905,55907,55919 Порты пишем какие у вас на сервере, я привёл пример для 44405,55901,55903,55905,55907,55919 TCP портов

[POCOMAXA]

Оно то конечно спасибо, но WinBox как бы имеет графический интерфейс, при чем, достаточно простой.
Ну а сугубо по настройкам, вот парочку ресурсов, которые могут помочь

Разъ

Дъва

Три

По крайней мере, Вы будете понимать, что Вы делаете и зачем