avatar_Vovcik

Как правильно настроить и защитить Mikrotik ? Какую модель выбрать и какие правила нужны для обеспеч

Автор Vovcik, 2013 Март 02, 21:20

« назад - далее »

0 Пользователи и 2 гостей просматривают эту тему.

Вниз Страницы1
Ключевые слова [SEO] настройкабезопасностьmikrotikсписок правил

Vovcik

2013 Март 02, 21:20 Последнее редактирование: 2023 Март 24, 13:32 от Everybody
Кто пользуется данным оборудованием (Mikrotik) что может посоветовать какую модель лучше приобрести и какие правила нужны для обеспечение более менее нормальной работы сервера?
Если можно список правил или настроек для безопасности.

Охо сколько ответов , море рук и куча спецов. Может всетаки поможете кто имел дело, или никто не пользуется?

WakeUp

#1
2013 Март 13, 10:24
оборудование любое, чем дороже тем лучше со всем справится... главное чтоб на RouterOS было. правила обычные, как в любом файрволе.

cokpat

#2
2013 Март 13, 11:10 Последнее редактирование: 2013 Март 13, 11:10 от cokpat
Цитата: WakeUp от 2013 Март 13, 08:24  оборудование любое, чем дороже тем лучше со всем справится... главное чтоб на RouterOS было. правила обычные, как в любом файрволе.
ну скажем так, не совсем обычные для админов которые форум засрали одними вопросами :D

например

/ip firewall nat add chain=dstnat action=dst-nat protocol=tcp dst-port=80 to-address=АДРЕС_КУДА_НАТим

и сейчас будет встерчный вопрос, а что с этим делать ))

WakeUp

#3
2013 Март 13, 13:09 Последнее редактирование: 2013 Март 13, 12:39 от WakeUp
Это строчка к защите не имеет отношение :) Это NAT. Перенаправление соединения, в данном случае на web сервер.

В принципе можно простые правила дать, которые нужны точно, а вот дальш уже по своему усмотрению, смотря что хочешь.
И так, запускаем консоль и пишем:
Код Выделить
/ip firewall filterРазрешаем пинг, если надо:
Код Выделить
add chain=input protocol=icmp action=accept comment='Allow Ping'
add chain=forward protocol=icmp action=accept
дальше не буду пояснять, разрешаем успешные соединения и т.д.
Код Выделить
add chain=input connection-state=established action=accept comment='Accept established connections'
add chain=forward connection-state=established action=accept
add chain=input connection-state=related action=accept comment='Accept related connections'
add chain=forward connection-state=related action=accept
add chain=input connection-state=invalid action=drop comment='Drop invalid connections'
add chain=forward connection-state=invalid action=drop
Разрешаем UDP если надо, например skype, torrent и т.д.
Код Выделить
add chain=input protocol=udp action=accept comment='Allow UDP'
add chain=forward protocol=udp action=acceptДальше, допустим ваша локалка 192.168.0.0/24 и master интерфей локалки ether2. Разрешаем ей выход в интернет:
Код Выделить
add chain=forward src-address=192.168.0.0/24 in-interface=ether2 action=accept comment='Access to Internet from local network'Разрешаем доступ к роутеру только с локалки:
Код Выделить
add chain=input src-address=192.168.0.0/24 action=accept comment='Access to Mikrotik only from our local network'Запрещаем всё остальное, т.е. что не разрешено, то запрещено:
Код Выделить
add chain=input action=drop comment='All other drop'
add chain=forward action=dropХотите что-то ещё разрешить, то добавляйте над этими правилами.


Ну и в качестве бонуса пример переброски для сервера mu портов. Например сервер у нас на ip 192.168.0.5:
Код Выделить
/ip firewall nat add chain=dstnat action=dst-nat to-addresses=192.168.0.5 protocol=tcp dst-port=44405,55901,55903,55905,55907,55919 Порты пишем какие у вас на сервере, я привёл пример для 44405,55901,55903,55905,55907,55919 TCP портов

POCOMAXA

#4
2013 Март 13, 23:32
Оно то конечно спасибо, но WinBox как бы имеет графический интерфейс, при чем, достаточно простой.
Ну а сугубо по настройкам, вот парочку ресурсов, которые могут помочь

Разъ

Дъва

Три

По крайней мере, Вы будете понимать, что Вы делаете и зачем
Вверх Страницы1

Похожие темы (5)