Базовая настройка firewall на Mikrotik
Рет қаралды 28,760
4 жыл бұрын#mikrotik #firewall
@isbn777 4 жыл бұрын
Вас приятно слушать грамотная речь , полезные уроки, не останавливайтесь ,продолжайте.
@DaveRylenkov 4 жыл бұрын
Спасибо)
@sergeysergeev_ 4 жыл бұрын
Спасибо-классный урок приподнесли, хорошо объясняете. Ваш урок по Catalyst 2950 мне очень помог. Построил заново сеть, на 3 влана успешно работает уже пол года. Респект и успехов Вам. Лайк и подписку уже оформил.
@StanislavShakhbazov 3 жыл бұрын
Спасибо огромное за хороший гайд без воды и болтовни.
@user-nu7ok1ut9r 3 жыл бұрын
Лучший! Вся нужная информация в таком коротком ролике, талант! :)
@user-gs5zz8rh7p 4 жыл бұрын
Спасибо за Ваши уроки!
@srh_btk 3 жыл бұрын
Супер! То что нужно! Спасибо за уроки. Хотелось бы увидеть видео по port-knocking и маркировку пакетов, если есть такая возможность.
@DaveRylenkov 3 жыл бұрын
Спасибо за отзыв, про port knocking уже есть видео на моем канале
@kot6897 Жыл бұрын
Тоже доволен вашей работе. Доп инфа по сетям приносить удовлетворение. Сижу дома настраиваю микротик. Увидел у других людей 30 правил firewall и понял что есть куда стремиться. Между прочим подвергался атакам от ботнетов при ненастроенном fierwall на микротике. 😆😆😆
@rootware 4 жыл бұрын
четко , якно и понятно , спасибо !
@korobelnikovguarim9702 4 жыл бұрын
Расскажи, пожалуйста, про варианты настройки firewall NAT
@user-hz6pn4si5o 3 жыл бұрын
Доступно, понятно, без лишнего. Спасибо за гайд! Правда я до конца не понял, как и какое правило прописать, чтобы комп подключенный у меня по 3му локальному порту (для третьего порта у меня сделан отдельный бридж - 8я подсеть) не мог никаким образом зайти на интерфейс роутера и что-то там менять, ни через ip ни через winbox.
@SovMan 2 жыл бұрын
Спасибо, Друг!
@sergexiomi7700 3 жыл бұрын
Давид, спасибо за видео объяснения
@user-nd2bu5hv7y 8 ай бұрын
В целом все отлично. У меня при правиле drop/input валится пинг из терминала роутера, такое же при форварде не портит пинг на клиентских машинах. заработало только тогда, когда поиставил в стейт new у правила drop/input
@kutycr 6 ай бұрын
приветствую! подскажите, этих правил достаточно для домашнего использования данного роутера ? без фанатизма, из вне мне не нужно на него заходить и проверять и тп вещи....
@metalus9838 4 жыл бұрын
Можеш обеснить про оптикальный кабель(fibre optical). Как и на каких устроить надо соединить и настроить. В цискр пакет трасер
@aliensky6409 2 жыл бұрын
спасибо!
@DaveRylenkov 11 ай бұрын
Провожу индивидуальные консультации по компьютерным сетям и настройке MikroTik . Пишите мне в ВК
@FogerSP 3 жыл бұрын
Базовая настройка какого-нибудь домашнего микротика у меня делается так (аплинк в ether1, dhcp): /system reset-configuration no-defaults=yes skip-backup=yes /interface bridge add name=bridge-local set bridge-local auto-mac=no admin-mac=[/interface ethernet get ether2 mac-address ] /interface bridge port add bridge=bridge-local interface=ether2 add bridge=bridge-local interface=ether3 add bridge=bridge-local interface=ether4 add bridge=bridge-local interface=ether5 add bridge=bridge-local interface=wlan1 /interface wireless security-profiles set default \ authentication-types=wpa-psk,wpa2-psk mode=dynamic-keys \ unicast-ciphers=aes-ccm group-ciphers=aes-ccm \ wpa-pre-shared-key= \ wpa2-pre-shared-key= /interface wireless set wlan1 mode=ap-bridge band=2ghz-b/g/n \ channel-width=20/40mhz-ht-above frequency=auto ssid= \ country=russia disabled=no /ip address add address=192.168.88.1/24 interface=bridge-local /ip dhcp-client add interface=ether1 add-default-route=yes \ use-peer-dns=yes use-peer-ntp=yes disabled=no /ip pool add name=dhcp ranges=192.168.88.10-192.168.88.254 /ip dhcp-server network add address=192.168.88.0/24 netmask=24 \ dns-server=192.168.88.1 gateway=192.168.88.1 ntp-server=192.168.88.1 /ip dhcp-server add interface=bridge-local address-pool=dhcp \ name=dhcp disabled=no /ip dns set allow-remote-requests=yes /ip firewall nat add chain=srcnat out-interface=!bridge-local action=masquerade /ip neighbor discovery set [/ip neighbor discovery find ] discover=no /ip service disable api,api-ssl,ftp,telnet /ip upnp interfaces add interface=ether1 type=external add interface=bridge-local type=internal /ip upnp set enabled=yes /system clock set time-zone-name=Etc/GMT-3 /system ntp client set primary-ntp= enabled=yes /system routerboard settings set silent-boot=yes /system identity set name="" /user set admin password= /ip firewall filter add chain=input connection-state=established action=accept add chain=input connection-state=related action=accept add chain=input in-interface=bridge-local action=accept add chain=input connection-state=new protocol=tcp dst-port=22,8291 action=accept add chain=input protocol=icmp action=accept add chain=input action=drop
@therealman_tm 3 ай бұрын
Почему в некоторых правилах указан интерфейс? Это имеет значение? Как быть, если будет добавлен еще один бридж или wan.
@ruslan.pupkov 3 жыл бұрын
Этого достаточно? или ещё какие правила нужны?
@desdechado9 3 жыл бұрын
Здравствуйте Давыд. Разрешите спросить, если соединение PPOE , нужно указывать именно его в фаерволе или можно просто указать внешний интерфейс ether 1 в правиле? И второй вопрос, в некоторых видео на ютуб говорят что дропать инвелид на всех интерфейсах не стоит , а только из приходящих извне, с wan, из-за того что некоторые устройства в сети лан например могут генерить инвелид пакеты, например китайские камеры. Что вы думаете по этому поводу?
@DaveRylenkov 3 жыл бұрын
Здравствуйте, нужно указывать именно pppoe соединение. По поводу invalid пакетов, да, бывает что в локалке некоторые устройства их генерят поэтому можно только с WAN интерфейса оставить
@user-wr4xu7gv4b 4 жыл бұрын
Thanks for video! Could you explain 2 last rules, what do mean Connection State Invalid?
@DaveRylenkov 4 жыл бұрын
Эти правила нужны чтобы сразу срезать паразитный трафик, неправильно сформированные соединения
@korobelnikovguarim9702 4 жыл бұрын
может снимешь видосик объединение 2х провайдеров
@freem93 2 жыл бұрын
Здравствуйте! Насчёт dstnat, как сделать так чтобы из внутреннего локального сегмента при обращение на свой внешний адрес и порт. Можно было увидеть видеорегистратор. Я настроил как вы показали. Он работает с внешки. Но с внутренней сети не работает. Приложение AyEee 3.0
@sv1at Жыл бұрын
столкнулся с аналогичной проблемой. как получилось решить вашу?
@222Imphotep222 4 жыл бұрын
А почему общее правило DROP для FORWARD и/или INPUT/OUTPUT цепочки не будет резать соединения с INVALID состоянием?
@user-lt5qq1lm5e 3 жыл бұрын
В общем правиле он указал конкретные интерфейсы, а для INVALID - только цепочку, т.е. такие пакеты будут дропаться с любых интерфейсов. Согласен, что стоило этот момент в явном виде проговорить, а то не сразу заметно. К тому же, нужно ли такие пакеты дропать не на WAN-интерфейсе - вопрос открытый для обсуждения.
@kot6897 Жыл бұрын
1 Мы защищаем роутер на входе(input) от внешнего проникновения(WAN port - провод провайдера в eth1), от прощупывания(что за устройство, модель, mac, мусора или атак). Общим правилом drop - eth1. 2 После можно указать новое правило в цепочке input eth1(WAN)-accept, разрешающее пропускать ping и поднять это правило выше основного drop правила. Можно мониторить доступность микротика через ping, но тут же и нужно защитится чтобы злоумышленник не использовал это в своих целях. Я на работе видел как безопасники свои важные хосты шифрования закрывают от возможности их пинговать (icmp protocol). Всем добра и знаний🤓🤓🤓.
@nikopolv 4 жыл бұрын
Для более гибкой настройки, если захотите поменять физический порт подключения например с 1 на 6 или подключили usb модем, лучше использовать interface list. То есть добавляете подключение в interface list (например WAN) и правила будут работать сразу, а не менять во всех порт.
@trew91111 4 жыл бұрын
щас всем заняться нечем дома сидят , помогите освоить микротик ,стыдно признаться сисадмин а микротик только щас решил изучить ,для себя ,ну и для работы в будущем ,я сейчас сокращён (по собственному)
@sergeysergeev_ 4 жыл бұрын
@@trew91111 Я был на Вашем месте 2 года назад-устроился на работу админом, а там микротик(был в шоке-в тот период времени ломали микротики, в прошивке уязвимость была-кажется версия 6.42 была) в интернете инфы огромная куча, настройка на самом деле не такая уж и сложная, как кажется-с файерволом придется повозиться, это правда, я до сих пор не совсем в нем силен-Давыд очень классно все объясняет. У Вас все получится-уверен.
@nikopolv 4 жыл бұрын
@@trew91111 Есть программа GNS3, очень удобно для изучения сетей, там можно запустить routeros, создать между двумя маршрутизаторам vpn и тд. Изучить как настраивать можно по этому каналу, еще есть netskills, mikrotik training.
@nikopolv 4 жыл бұрын
@@sergeysergeev_ Ломали только те у кого наружу торчал стандартный порт winbox. Если знаешь linux то изучения не составит труда, там многое интуитивно и понятно. Вот сейчас ковыряюсь в dlink dfl вот где вынос мозга.
@sergeysergeev_ 4 жыл бұрын
@@nikopolv на тот момент боялся его как огня. С GNU/Linux уже дружил и стандартные порты менял, это первое правило(вход от амина или root должен быть запрещен !!!)
@hazartilirot1014 3 жыл бұрын
Есть вопрос. Правил очень много, получается, все которые дропаютя должны идти в самый низ? Не совсем понятна последующая сортировка правил.
@kot6897 Жыл бұрын
Если запрещающее правило поставить раньше(ближе к нулю), оно перебьет приоритетом правило, которое разрешает пропускать трафик.
@user-uu8ep2xw5j 4 жыл бұрын
вроде как было видео про настройку address lists? по доступу к роутеру извне по определенным IP адресам, что-то не могу найти , или на другом канале видел...
@alexeyzakharov8135 3 жыл бұрын
А не проще в первом созданом правиле указать "new" в connection state ? будут дропаться только новые пакеты из "инета" , т.е. ping из локалки должен продолжать ходить.
@UrNeuro 2 жыл бұрын
Жесть, все понятно объяснил, а вот мой препод не справился.
@gaidamacka 2 жыл бұрын
Напишите здесь пожалуйста модель вашего Mikrotika, плохо видно.
@avadasiken Жыл бұрын
RB2011UiAS-2HnD
@ninjasassasin3224 4 жыл бұрын
А как посмотреть правила файервола по умолчнаию? У меня на микротике RB2011UiAS-IN новом никаких правил не было - было все пусто.
@DaveRylenkov 4 жыл бұрын
Там если с магазина его прям из коробки достать и подключать и заходить по винбоксу, либо сбрасывать, высвечивается окно, типо загрузить конфиг по умолчанию. Можно согласиться, либо с чистого листа настраивать, видимо вы с чистого листа настраивали
@zohrabmi5767 Жыл бұрын
Человек объсняет-это благое дэло! Люди добрые, объясните мне на человечоскоя языке; Я сижу за НАТом, и стоит добреньий Микротик роутербоард на выходе в инет. На локальке куча сервероа которые доступны из внешного мира на счет порт-форвардинга на роутере(Микротик) Зачем мне куча запрещающие правила? Стоит только Фаил2Бан образная правила которая при не удачном авторизации удлиняет время повторные попытки по течение несколько ч.. Все встроенные сервизы роутера отключены, только из локальной сети можна подключится ВинБоксом. Чем могут нам вредить? И каким образом? Зачем мне запрещающие правила для входящего трафика? (А на самом дэле куча запрещающих правил для исходящего трафика. Это мне понятно)
@John___Doe 4 жыл бұрын
вроде все интересно, но слишком поверхностно, это скорее для тех кто перешел с бытового длинка на микротик и нужно настроить "как было до", 99% параметров не упоминается и вся гибкость микротика сходит на нет
@TheShotw 2 жыл бұрын
Спасибо, а вы случаенно курсы не ведете?
@DaveRylenkov 2 жыл бұрын
Индивидуально провожу консультации
@earledge 2 жыл бұрын
Дефолтные правила делают тоже самое. Только установленные и связанные форвард пакеты проверяются на invalid и на утечку через пролом NAT.
@renshler9934 4 жыл бұрын
Большое СПАСИБО хотелось бы чтобы прилагали текстовый файл с командами Winbox NewTerminal в нужном порядке да еще и с комментами например 0 /ip firewall nat add action=masquerade chain=srcnat out-interface-list=WAN \ comment="defconf: masquerade" 1 /ip firewall filter add chain=input connection-state=invalid action=drop \ comment="defconf: Drop Invalid connections Input" 2 /ip firewall filter add chain=forward connection-state=invalid action=drop \ comment="defconf: Drop Invalid connections Forward" 3
@ruslan.pupkov 3 жыл бұрын
Здравствуйте!!!! А если у меня PPPoE в место ether1 указывать PPPoE ? и при настройки нат тоже PPPoE а не ether1 ????
@DaveRylenkov Жыл бұрын
Да, в NAT нужно прописывать PPPoE интерфейс в таком случае
@mostrakt 4 жыл бұрын
У вас честно есть какая то склонность преподаванию, к грамотному изложению материала!
@DaveRylenkov 4 жыл бұрын
Спасибо))
@Nafan-TV1 Жыл бұрын
привет как с тобой можно связатся может телеграмм есть
@DaveRylenkov Жыл бұрын
Можете в вк написать мне
@romanjakhiashvili 2 жыл бұрын
Я честно говоря не понял зачем правило на инвалид стейт. Ведь и так все должно дропаться, кроме established и related?
@user-rd3lj4gn4s Жыл бұрын
Не понял, а почему нет Chain = prerouting?
@DaveRylenkov Жыл бұрын
Эта цепочка трафика инициируется во вкладке Mangle, при самой базовой настройке это не затрагивается
@user-rd3lj4gn4s Жыл бұрын
@@DaveRylenkov а по RouterOS v7 не планируете обзоры? Там много чего изменилось, и хотелось именно об изменениях послушать, что поменялось, для чего, что пропало.
@DaveRylenkov Жыл бұрын
@@user-rd3lj4gn4s Насколько я помню Routeros 7 пока что нет в long-term, поэтому я в прод её стараюсь не ставить ещё. В следующем месяце возможно запишу о ней видео
@user-rd3lj4gn4s Жыл бұрын
@@DaveRylenkov ROS v7.7 stable была уже в январе. Сейчас вроде v7.8 stable (может даже v7.9). А лонг-терм у них появляется когда 10 000 пользователей на одной версии больше года без единой ошибки отработают, так что этого всегда пару лет надо ждать. В тоже время уже куча устройств вышла v7 only. Да и вообще пора уже, ведь v7 вышла в 2021 году.
@mix5457 2 жыл бұрын
Забавно, что в интернет можно спокойно ходить и без форвард... мораль, ракеты а форвард попадают по какому-то алгоритму, который как врдится здесь не озвучен
MhNetSecurity
Рет қаралды 795
Сисадмин канал
Рет қаралды 331 М.
NetSkills. Видеоуроки. Cisco, zabbix, linux.
Рет қаралды 31 М.
CrOwn FF 99
Рет қаралды 3,9 МЛН