Привет всем. Купил сегодня себе замечательную штуку Mikrotik rb951ui-2hnd и вот сижу развлекаюсь. По найденным в интернете мануалам, настроил работу роутера. Интернет есть, все вроде бы хорошо.
Но хотел бы попросить помочь мне настроить Firewall, т.к. сейчас там нет ни одного правила. Получается что у меня сейчас входящие порты все открыты? И роутер ни как не защищен? По инструкции что я скачал, там говорилось про настройку NAT и Firewall+ защиты роутера, это надо было через браузер набрать <ip router>/CFG и там якобы нас должно было забросить в настройку где можно было поставить галочки NAT+Firewall+защита роутера, как-то так. Так вот когда я пишу в браузере такую строку, то мне выдается "Невозможно отобразить страницу". Значит в этой модели другой подход? Т.к. мануал по которому я делал по модели от 751G.
Помогите создать грамотно правила? Буду очень признателен. Желательно через GUI интерфейс WinBox-а, а не командами, т.к. не знаю их синтаксиса
И правильно ли я настроил НАТ? Я зашел на вкладку НАТ Chain=srcnat, а на вкладке Action выбрано masquerade.
Спасибо!
p.s. и пока не очень понятно, как настроить фильтрацию по MAC, чтобы к моему WIFI могли подключаться только указанные MAC адреса.
Я посмотрел, в настройке Interface-WLAN1 в его свойствах, есть вкладки Access address List и Access Connection List, чем отличаются пока не понял, но ни тот ни другой не помог, все равно подключаются любые устройства к WIFI.
Настройка Firewall на Mikrotik MB951Ui
-
plin2s
- Сообщения: 417
- Зарегистрирован: 26 сен 2012, 16:17
- Контактная информация:
Синтаксис: http://wiki.mikrotik.com/wiki/Manual:Console
Пример базовой настройки Firewall: http://wiki.mikrotik.com/wiki/Manual:IP ... c_examples
Пример базовой настройки Firewall: http://wiki.mikrotik.com/wiki/Manual:IP ... c_examples
-
Denitornado
- Сообщения: 47
- Зарегистрирован: 11 апр 2014, 08:18
спасибо. Обязательно изучу. Для меня немного странно и неудобно, 
если есть GUI зачем командами писать, но это наверное на любителя и для опытного Линуксоида. Мне бы для начала через визуальный интерфейс разобраться..... 
А я правильно понимаю, что весь синтаксис в Mikrotik тот же самый что и в Линуксе, когда настраиваем iptables?
И можно на пальцах пояснить разницу между input, output (ну это в общем-то понятно) и зачем forward.
А то я для примера вчера делал правило, типа запретить всей внутренней подсети выход в инет, сделал output -> drop и группу задал. Не работает! Все ходят куда хотят! )
И не пойму как все таки ограничить доступ к своей сетки WIFI по MAC! Выше писал.
если есть GUI зачем командами писать, но это наверное на любителя и для опытного Линуксоида. Мне бы для начала через визуальный интерфейс разобраться..... А я правильно понимаю, что весь синтаксис в Mikrotik тот же самый что и в Линуксе, когда настраиваем iptables?
И можно на пальцах пояснить разницу между input, output (ну это в общем-то понятно) и зачем forward.
А то я для примера вчера делал правило, типа запретить всей внутренней подсети выход в инет, сделал output -> drop и группу задал. Не работает! Все ходят куда хотят! )
И не пойму как все таки ограничить доступ к своей сетки WIFI по MAC! Выше писал.
-
plin2s
- Сообщения: 417
- Зарегистрирован: 26 сен 2012, 16:17
- Контактная информация:
-
Denitornado
- Сообщения: 47
- Зарегистрирован: 11 апр 2014, 08:18
Спасибо за статьи, читаю, вникаю, более менее уже понятно.
Но вопрос такой:
Все таки пытаюсь сделать защиту роутера от "умных соседей" и т.п., т.е. позакрывать на его WAN все лишнее.
Сделал правило: (перечисляю заданные поля - это не команда)
Action=drop, направление=input, Src.Addresses=0.0.0.0, In.Interface=WAN
Ну типа, запретить подключение на внешний интерфейс с любого IP по любым протоколам! Правильно ли это суждение и настройка?
И решил проверить, что после этого у меня происходит на внешнем интерфейсе. Запустил сканер портов и просканил IP который у меня по договору с провайдером 10.51.ххх.ххх
И утилита сканирования нашла у меня открытых 53, 2000, 8291. Их назначение я знаю. Но все это я проверял с ноута, внутри своей же сети. Я так полагаю это неправильно, и сканер портов выдал мне не верную картину? Так ведь? Просто не пойму как проверить теперь защиту роутера.
Спасибо!
Но вопрос такой:
Все таки пытаюсь сделать защиту роутера от "умных соседей" и т.п., т.е. позакрывать на его WAN все лишнее.
Сделал правило: (перечисляю заданные поля - это не команда)
Action=drop, направление=input, Src.Addresses=0.0.0.0, In.Interface=WAN
Ну типа, запретить подключение на внешний интерфейс с любого IP по любым протоколам! Правильно ли это суждение и настройка?
И решил проверить, что после этого у меня происходит на внешнем интерфейсе. Запустил сканер портов и просканил IP который у меня по договору с провайдером 10.51.ххх.ххх
И утилита сканирования нашла у меня открытых 53, 2000, 8291. Их назначение я знаю. Но все это я проверял с ноута, внутри своей же сети. Я так полагаю это неправильно, и сканер портов выдал мне не верную картину? Так ведь? Просто не пойму как проверить теперь защиту роутера.
Спасибо!
-
podarok66
- Модератор
- Сообщения: 4359
- Зарегистрирован: 11 фев 2012, 18:49
- Откуда: МО
Вы главное, выше поставьте правило, по которому Вам разрешается с определенных машин заходить на роутер. А то придется резет делать, на роутер не попадете.
Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
-
Denitornado
- Сообщения: 47
- Зарегистрирован: 11 апр 2014, 08:18
Ну у меня настроено пока так:
Я первым поставил правило "Заблокировать все" пришедшее с WAN для 0.0.0.0 (всех).
Вторым правилом у меня идет - "Разрешить только моему IP" пинги роутера внутри сети, остальным запрещено.
А чтобы в случае чего не потерять роутер, в IP-Services указал, кому можно к WinBox лезть в настройки - т.е. моя подсеть\24
Вот как мне блин проверить то, что снаружи закрыто все?
Я первым поставил правило "Заблокировать все" пришедшее с WAN для 0.0.0.0 (всех).
Вторым правилом у меня идет - "Разрешить только моему IP" пинги роутера внутри сети, остальным запрещено.
А чтобы в случае чего не потерять роутер, в IP-Services указал, кому можно к WinBox лезть в настройки - т.е. моя подсеть\24
Вот как мне блин проверить то, что снаружи закрыто все?
-
podarok66
- Модератор
- Сообщения: 4359
- Зарегистрирован: 11 фев 2012, 18:49
- Откуда: МО
Смартом, чего проще.
Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
-
Denitornado
- Сообщения: 47
- Зарегистрирован: 11 апр 2014, 08:18
podarok66 писал(а):Смартом, чего проще.
А можно подробнее? Что за смарт? Сканер какой?
-
podarok66
- Модератор
- Сообщения: 4359
- Зарегистрирован: 11 фев 2012, 18:49
- Откуда: МО
Смартфон, устройство для сотовой телефонной связи с операционной системой на борту 
Я имел ввиду, что при работе через сотового оператора Вы по любому снаружи будете заходить))
Я имел ввиду, что при работе через сотового оператора Вы по любому снаружи будете заходить))Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...