Tout ce que vous devez savoir sur les règles de pare-feu Mikrotik

Depuis l'introduction de la récente fonction FastTrack et la sortie de Router OS 6.29.1, il existe une confusion parmi les utilisateurs quant à la façon dont ils peuvent implémenter les règles FastTrack dans le pare-feu Mikrotik. Avec les versions récentes du Router OS, la fonction FastTrack commence à fonctionner sur diverses interfaces, telles que les VLAN. Par conséquent, il devient très important pour les utilisateurs d'en savoir plus sur cette fonctionnalité et comment l'implémenter correctement. Nous aimons que le trafic transféré soit breveté pour FastTrack sur le routeur du pare-feu. Cependant, nous devons également accepter ce même trafic également. Cela ne fonctionnerait pas sans ces règles et ne retirerait aucun avantage en termes de performances.

Les utilisateurs qui ne connaissent pas Règles du pare-feu Mikrotik et les bases de la chaîne doivent lire cet article. FastTrack est connu pour diminuer un peu l'utilisation du processeur. Dans plusieurs cas, il tombe à plus de 10% lorsque le volume de trafic reste élevé. Il fonctionne sur le principe que si les utilisateurs ont déjà examiné un paquet dans le flux par rapport au pare-feu et qu'il l'a également autorisé, alors pourquoi il est nécessaire d'examiner tous les autres packs dans le reste de ce flux.

En ce qui concerne l'efficacité globale, c'est quelque chose d'assez gros, surtout lorsque les utilisateurs ont plus que des pare-feu pour évaluer le trafic. Commençons donc par les règles du pare-feu Mikrotik.

Dans le menu 'Paramètres IP'dans Winbox, les utilisateurs peuvent voir un ensemble de paquets entiers, qui ont été marqués pour FastTrack.

Voici quelques règles de pare-feu actuellement utilisées sur les appareils SOHO, qui tirent parti de FastTrack. Les étapes suivantes vous aideront à protéger votre routeur. Nous vous suggérons de conserver le pare-feu par défaut, qui peut être corrigé avec d'autres règles pour répondre aux exigences de configuration.

Aussi, si vous ne savez pas comment désactiver le pare-feu, vous voilà, et aussi le pare-feu avec état et sans état comparaison complète.

Règles du pare-feu Mikrotik

Nous vous recommandons de conserver le pare-feu par défaut. Voici quelques ajustements pour le rendre plus sûr. Avant d'appliquer ces règles, vous devez comprendre ce qu'elles font.

Au fait, vous découvrirez ici comment résoudre ce problème Votre serveur DNS pourrait ne pas être disponible facilement et en savoir plus sur pare-feu de filtrage de paquets.

Règles du pare-feu Mikrotik: accès à un routeur

Accès au nom d'utilisateur

Modifiez l'administrateur du nom d'utilisateur par défaut en un nom personnalisé ou différent qui aide à protéger l'accès au routeur, si quelqu'un accède directement au routeur.

/ user add name = myname password = mypassword group = full
/ user remove admin

Accéder au mot de passe

L'accès au mot de passe est l'une des règles importantes du pare-feu Mikrotik. Ces routeurs nécessitent une configuration de mot de passe. Ici, nous vous suggérons d'utiliser pwgen ou un autre outil générateur de mot de passe pour créer des mots de passe non répétitifs et sécurisés.

/ user set 0 password = ”! = {Ba3N!” 40TyX + GvKBz? jTLIUcx /, ”

L'autre option pour définir un mot de passe est:

/mot de passe

Il est préférable d'utiliser la deuxième méthode pour appliquer un nouveau mot de passe au routeur afin de le protéger contre les accès non autorisés.

PS: pour en savoir plus sur le Pare-feu des ports SMB, et le Pare-feu Raspberry Pi, ainsi que tous Types de pare-feu, cliquez simplement dessus.

Accès via des adresses IP

Les règles de pare-feu Mikrotik par défaut protègent le routeur contre tout accès non autorisé à partir d'un autre réseau. Parallèlement à cela, il restreint l'accès au nom d'utilisateur pour des adresses IP particulières.

/ user set 0 allowed-address = xxxx / yy

(xxxx / yy est le sous-réseau du réseau ou IP activé pour accéder au routeur)

Règles du pare-feu Mikrotik: pare-feu IPv4 vers un routeur

  • Fonctionne avec les connexions d'origine pour réduire la charge sur le routeur
  • Crée une liste d'adresses pour les adresses IP, qui sont activées pour accéder au routeur
  • Active les adresses ICMP
  • Supprime tout le reste, où log = yes frappe des règles particulières en ajoutant aux paquets d'enregistrement

/ filtre pare-feu ip
ajouter une action = accepter la chaîne = entrer un commentaire = "configuration par défaut"
état de connexion = établi, lié
ajouter une action = accepter la chaîne = entrer src-address-list = allowed_to_router
ajouter une action = accepter la chaîne = protocole d'entrée = icmp
ajouter une action = chaîne de dépôt = entrée
/ liste d'adresses pare-feu ip
Ajouter une adresse = 192.168.88.2-192.168.88.254 list = allowed_to_router

Règles du pare-feu Mikrotik: pare-feu IPv4 pour les clients

  • Pour des données plus rapides, les paquets associés / établis sont empilés sur FastTrack, où le pare-feu fonctionne avec seulement de nouvelles connexions
  • Supprime une connexion non valide et les enregistre avec un préfixe non valide
  • Supprime les paquets entrants d'Internet
  • Supprime les paquets entrants qui ne sont pas NAT, les tentatives de journalisation ayant le préfixe! NAT
  • Supprime les paquets du LAN, qui n'a pas d'IP LAN

/ filtre pare-feu ip
ajouter une action = chaîne de connexion fasttrack = commentaire suivant = état de connexion FastTrack = établi, lié
ajouter une action = accepter la chaîne = transmettre le commentaire = "établi, lié" état de connexion = établi, lié
add action = drop chain = forward comment = "Drop invalid" connection-state = invalid log = yes log-prefix = invalid
add action = drop chain = forward comment = ”Drop essaie d'atteindre les adresses non publiques à partir du LAN” dst-address-list = not_in_internet in-interface = bridge1 log = yes log-prefix =! public_from_LAN out-interface =! bridge1
add action = drop chain = forward comment = "Drop entrant paquets that are not NATted" connection-nat-state =! dstnat connection-state = new in-interface = ether1 log = yes log-prefix =! NAT
add action = drop chain = forward comment = "Drop entrant from internet which is not public IP" in-interface = ether1 log = yes log-prefix =! public src-address-list = not_in_internet
add action = drop chain = forward comment = "Drop packets from LAN that have not LAN IP" in-internet = bridge1 log = yes log-prefix = LAN_! LAN src-address =! 192.168.88.0/24

/ liste d'adresses pare-feu ip
add address = 0.0.0.0 / 8 comment = RFC6890 list = not_in_internet
add address = 172.16.0.0 / 12 comment = RFC6890 list = not_in_internet
add address = 192.168.0.0 / 16 comment = RFC6890 list = not_in_internet
add address = 10.0.0.0.8 / comment = RFC6890 list = not_in_internet
add address = 169.254.0.0 / 16 comment = RFC6890 list = not_in_internet
add address = 127.0.0.0 / 8 comment = RFC6890 list = not_in_internet
add address = 224.0.0.0 / 4 comment = Multicast list = not_in_internet
add address = 198.18.0.0 / 15 comment = RFC6890 list = not_in_internet
add address = 192.0.0.0 / 24 comment = RFC6890 list = not_in_internet
add address = 192.0.2.0 / 24 comment = RFC6890 list = not_in_internet
add address = 198.51.100.0 / 24 comment = RFC6890 list = not_in_internet
add address = 203.0.113.0 / 24 comment = RFC6890 list = not_in_internet
add address = 100.64.0.0 / 10 comment = RFC6890 list = not_in_internet
add address 240.0.0.0/4 comment = RFC6890 list = not_in_internet
add address = 192.88.99.0 / 24 comment = ”6to4 relay Anycast [RFC 3068]” list = not_in_internet

Règles du pare-feu Mikrotik: pare-feu IPv6 vers un routeur

Actuellement, le package IPv6 est limité par défaut. RouterOS ne produirait aucune règle de pare-feu Mikrotik par défaut pour IPv6 à partir de maintenant.

  • Fonctionne avec de nouveaux paquets, accepte les paquets établis / liés
  • Supprime les adresses de lien local de l'interface Internet
  • Accepte l'accès aux routeurs à partir d'adresses de liaison locale, accepte les adresses de multidiffusion et accepte l'adresse pour l'accès au routeur
  • Laisse tomber autre chose

/ filtre pare-feu ipv6
ajouter une action = accepter la chaîne = entrer un commentaire = "autoriser les liens établis et associés"
état de connexion = établi, lié
ajouter chaîne = entrée action = accepter protocole = icmpv6 commentaire = "accepter ICMPv6"
ajouter une chaîne = action d'entrée = accepter le protocole = port udp = 33434-33534
comment = "defconf: accepter UDP traceroute"
ajouter chaîne = entrée action = accepter protocole = udp dst-port = 546 src-
address = fe80 :: / 16 comment = "accepte la délégation de préfixe DHCPv6-Client."
add action = drop chain = input in-interface = sit1 log = yes log-
prefix = dropLL_from_public src-address = fe80 :: / 16
ajouter une action = accepter la chaîne = entrer un commentaire = "autoriser les adresses autorisées" src-
liste d'adresses = autorisé
ajouter une action = chaîne de dépôt = entrée
/ liste d'adresses du pare-feu ipv6
add address = fe80 :: / 16 list = allowed
add address = xxxx :: / 48 list = allowed
add address = ff02 :: / 16 comment = multicast list = allowed

Règles du pare-feu Mikrotik: pare-feu IPv6 pour les clients

IPv6 assisté place les clients présents sur les réseaux publics et définit un pare-feu complet pour protéger les clients.

  • Accepte les produits liés / établis et fonctionne avec de nouveaux paquets
  • Supprime les paquets invalides et met le préfixe pour les règles
  • Accepte une nouvelle connexion des clients à Internet
  • Accepte les paquets ICMP
  • Supprime tout le reste

/ filtre pare-feu ipv6
ajouter une action = accepter la chaîne = transmettre le commentaire = établi, lié
état de connexion = établi, lié
add action = drop chain = forward comment = invalid connection-state = invalid
log = oui log-prefix = ipv6, invalide
ajouter une action = accepter la chaîne = transmettre le commentaire = icmpv6 dans l'interface =! sit1
protocole = icmpv6
ajouter une action = accepter la chaîne = transmettre le commentaire = «réseau local»
interface =! sit1 src-address-list = autorisé
add action = drop chain = forward log-prefix = IPV6

Règles importantes du pare-feu Mikrotik

/ liste d'adresses pare-feu ip
add address = 192.168.0.0 / 16 list = Bogon
add address = 10.0.0.0 / 8 list = Bogon
add address = 172.16.0.0 / 12 list = Bogon
add address = 0.0.0.0 / 8 list = Bogon
add address = 169.254.0.0 / 16 list = Bogon

/ filtre pare-feu ip
add chain = input comment = "Accept Established / Related Input" état de connexion = établi, lié

add chain = input comment = "Allow Management Input - 192.168.88.0/24 ″
adresse-src = 192.168.88.0 / 24

add action = drop chain = input comment = "Drop Input" log prefix = "Input Drop"

add action = fasttrack-connection chain = forward comment = \
État de connexion "FastTrack Established / Related Forward" = \
établie, liée

add chain = forward comment = "Accept Established / Related Forward" \
état de connexion = établi, lié

add chain = forward comment = "Autoriser le trafic de transfert LAN >> WAN" out-
interface = ether1 = passerelle src-address = 192.168.88.0 / 24

add action = drop chain = forward comment = "Drop Bogon Forward >> Ether1"
in-interface = ether1-gateway log = oui log-prefix = ”Bogon Forward Drop” src-
address-list = Bogon

add action = drop chain = forward comment = "Drop Forward"

Les deux règles ci-dessus en gras sont l'endroit où la gomme rencontre la route. Ces règles sont nécessaires pour le faire fonctionner. Les mêmes règles peuvent être appliquées dans les environnements de réseau d'entreprise et modifiées en conséquence. Alors, profitez de l'amélioration des performances maintenant! Maintenant, vous connaissez certains des utiles Règles du pare-feu Mikrotik que vous devez employer. Ces règles rendront l'expérience du réseau plus amusante pour vous!