Firewall в Mikrotik: разбираем, как обеспечивать безопасность сети

Рет қаралды 114,992

3 жыл бұрын

Firewall дает огромные возможности по управлению сетевым трафиком, проходящим через Mikrotik. Вы, как администратор сети, должны суметь разделить все потоки трафика. дать каждому из них свои права, а весь лишний трафик - заблокировать.
Firewall в Mikrotik по большей части позаимствован из IPTables из Linux.
На вебинаре мы подробно разберем все вкладки меню IP-Firewall, назначения всех параметров и пунктов.
Презентация: mkrtk.ru/prfw
Тайм-код:
02:27 Вопросы вебинара
03:23 Firewall filter
07:06 Работа по принципу «Если-То»
23:54 Filter Actions
57:15 Firewall NAT
1:03:33 NAT Actions
1:14:59 Connection State
1:30:49 Connection Tracking
1:31:22 Простая настройка firewall
1:33:16 Сложная настройка firewall
1:33:46 Address List
1:35:03 Блокирование сайтов через адрес листы с добавлением доменного имени
1:45:06 NAT Helpers
1:46:51 Полезные ссылки
Консультации и помощь по MikroTik в нашем Telegram-канале: t.me/miktrain

Пікірлер: 61

@darkTke 3 жыл бұрын

Если кому нужно. Начало в 15:15

@uliycezar3876 8 ай бұрын

Прекрасный вебинар! Вот такие видео действительно стОит снимать. Хочу поразбираться с настройкой Firewall вручную, чую, попал по адресу.

@maxpla1035 3 жыл бұрын

Спасибо Роману за интересный стрим!!!

@VladV89 2 жыл бұрын

Спасибо огромное, шикарный материал и приятно слушать!!

@profwerhowcew5890 2 жыл бұрын

Отличный вебинар! Все оч. доступно и подробно

@yuriy8149 3 жыл бұрын

Хочу выразить огромную благодарность за труд. Роман вы большой молодец! Очень познавательное видео с большим удовольствием посмотрел, подписался на канал и телеграмм!

@therealman_tm 3 жыл бұрын

Легкое и непринужденное... На 2,5 часа! :)

@BelyaevValera 3 жыл бұрын

Спасибо, очень информативно!

@viecheslavp4392 8 ай бұрын

Очень интересно, премного благодарен!

@SovMan 2 жыл бұрын

Спасибо, Друг!

@markovd86 3 жыл бұрын

Офигенный вебинар. За что диз?

@maxpla1035 3 жыл бұрын

Увидело слово - "безопасность", зашли, а там ни слова про РАКЕТЫ и ОРУЖИЕ...вот и влепили )) Дураков хватает!

@alexkovalovs4034 2 жыл бұрын

Spasibo! Kruto!

@MikhailGoncharov-tl4cr 3 жыл бұрын

thanks

@user-qz8kq3nc2i 3 жыл бұрын

Спасиб! заменил старый древний ящик сервер ISA MS на маленький Mikrotik! Все Супер!

@pavelyakovlev90 3 жыл бұрын

Микротик и иса не одно и тоже

@therealman_tm 3 жыл бұрын

В чем практическая разница между Src. Address и In. Interface, а также между Dst. Address и Out. Interface?

@arm_os 2 жыл бұрын

видео очень полезное и большое спасибо за вашу работу, но ... 2 часа 15 минут это, мне кажется, многовато.

@__Feniks__ 2 жыл бұрын

Да можно и думаю нужно, применять меньше жаргона и научных терминов, и выражаться максимально проще, т.к уровень людей которые смотрят видео разный и мозги тоже у всех по разному работают. Эти блок схемы только запутывают неискушенных.

@Ivan-lz9fn 3 жыл бұрын

Здравствуйте. Можете выложить список правил для icmp?

@Manfreddis 3 жыл бұрын

При каком изменении пакетов, прошедших через MikroTik, их цепь прохождения перестает быть "forward" и разделяется на "input" и "output"?

@xlite0060 2 жыл бұрын

user-block нужно указывать явный ип адрес пользователя а что если у пользователя dhcp и через 1 мес. ип сменится ? каждый раз перебивать в правиле ип адрес пользователя?

@logtir7237 2 жыл бұрын

Скажите пожалуйста чистый IPSec подпадает под "AllPPP" файрволе?

@Panko-Evgeniy 3 жыл бұрын

24:00 - личная пометка

@evgenymarinichev4603 3 жыл бұрын

Кто-нибудь в курсе как раздать определенный пул адресов в порт свича используя Option 82? Где это задавать в DHCP сервере?

@juzhnijural 3 жыл бұрын

Спасибо за очень познавательный вебинар. Скажите, достаточно этой защиты для дома( пара ноутов, планшеты, смартфоны, NAS) или есть смысл поставить дополнительно (вместо) Firewall (pfsense, ipfire, opnsense)?

@andreyanart148 3 жыл бұрын

Для дома - выше крыши...

@ngshares490 2 жыл бұрын

Если у нас в цепочке форвард первым правилом стоит accept для established/related, там и так все быстро пролетит. Для чего фасттречить?

@enlightedone99 7 ай бұрын

Можете уточнить, а "connection state" применяется по принципу "и" или "или". Ну то-есть если я хочу разрешить пакеты только "esteblished" и только "related" должен ли я делать 2 отдельных правила или правило с галками на этих вариантах пропустит все сочетания с ними?

@rapst3412 3 жыл бұрын

Можете пожалуйста записать вебинар про настойку Wireguard в микротике

@7453060 2 жыл бұрын

Он уже есть, но есть нюансы в итоговой сборке 7.1

@7453060 2 жыл бұрын

В бридж только интерфейс листы

@Hanigun 2 жыл бұрын

Добрый день. Каким правилом запретить доступ всем пользователям впн. доступ в локальную сеть. А то каждый может заходить на каждого. (при наличии ip и лог пасс.) Только так чтобы не уронить весь доступ в инет :) Посмотрел момент про allppp 1:43:09 Но что-то не понял как сделать то что я хочу

@GTigerG 2 жыл бұрын

Сетевое окружение закрыть? Попробуйте закрыть порты 137, 138 - UDP, 139, 445 - ТСР.

@drywet-i5z 3 жыл бұрын

Прошу прощения что не в тему, а на микротике можно настроить cisco any connect клиента?

@Ixxtiander 3 жыл бұрын

Нельзя. Но можно OpenVPN

@__Feniks__ 10 ай бұрын

что за приложение где топология сети отображается 1:58:20 ???

@earledge 3 жыл бұрын

Чем эта конфигурация фаирвола лучше дефолтной?

@calapsyoutube8336 2 жыл бұрын

Вот мне тоже интересно

@koshechkin_roman Жыл бұрын

Почему NAT не часть FIREWALL? Нат такая же таблица как и фильтр, ро и мангл. Оно и находится всё в одном месте)

@ovanse 3 жыл бұрын

Роман, добрый день! Благодарю за стрим! Подскажите, а в том конфиге firewall что вы привели точно не нужно правило: chain-forward; In. Interface-bridge1, action-accept. Так то у меня давно настроен марш, но смотрю не упоминаете, думаю как тогда будет работать - отключаю - перестаёт работать интернет (не сразу, видать когда timeout esteblished соединения выходит) Вот и думаю чего у меня не правильно и почему у вас без этого правила работает.🤔

@7453060 2 жыл бұрын

Сломали роутер по ssh множественным подключением, пинги белого ip даже не успевали проходить. См. Ниже

@TSC_Deuce Жыл бұрын

18:02 /поплыл

@Dustisfy 3 жыл бұрын

Заблокировать Телеграм...Layer7 нам не подойдет. Шта??

@vitaliyglushchenko6599 3 жыл бұрын

Скините настройки Layer7, для блокировки телеграмовского MTProto?

@faith_healer 3 жыл бұрын

kzbin.info/www/bejne/epPPk4qMd62XkKc предлагаю поржать с этого феерического обзорщика микротиков :)) фееричный товарищ. качественного выходца с mоbilе-rеviеw сразу видно.

@AndreGuma_officialYT Жыл бұрын

Вопрос. Смогут ли взломать его например с белорусии а я с украины?

@MikrotikTraining Жыл бұрын

Ох эти хакеры из Белоруссии.

@AndreGuma_officialYT Жыл бұрын

@@MikrotikTraining так смогут или нет?

@user-xg8hw3iz6e 3 жыл бұрын

Доброго времени суток. У вас опечатка в презентации. в начале. ActOIn написано, вместо Action. Если презентация вам понадобиться в дальнейшем лучше исправить. Спасибо за полезную информацию

@Shchekin86 2 жыл бұрын

А ты чегоее зая неё

@7453060 2 жыл бұрын

Ночью сломали роутер, поставили Майнер, сняли фаер.,,,, утро удалось вернуть контроль над роутер ом, но удалённо перепрошить его нельзя, все добавленные пользователи и измененные пароли слетают после перезагрузки. На роутере стояла семёрка БЕТА, злоумышленники отткатили на 6. 45.

@mix5457 2 жыл бұрын

Минус почти всех видео на канале - их можно сделать в 3 раза короче если убрать "воду", в то же время, иной раз чего-то не хватает..

@zl0y 7 ай бұрын

видимо я тупой! 2 с лишним часа воды. Никакой конкретики. А хочешь лучше узнать плати деньги. Это нормально я понимаю, но!

@mass-any_key-lite 3 жыл бұрын

Для домашних пользователей видео не нужно а для сисадминов бесполезно.

@No_NameQ 3 жыл бұрын

Можно поподробнее, что вы имели ввиду?

@mass-any_key-lite 3 жыл бұрын

@@No_NameQ У домашних пользователей сеть крохотная, а нормальный системный администратор в фирме не станет здесь видео смотреть чтобы настроить роутер, а плохого сразу будет видно.

@No_NameQ 3 жыл бұрын

@@mass-any_key-lite я так понимаю у вас сертификация от микротик?

@GTigerG 2 жыл бұрын

@@mass-any_key-lite А где будет смотреть?

@mass-any_key-lite 2 жыл бұрын

@@GTigerGтак на месте и будет смотреть, я именно про проблемы с сетью и безопасностью.