Russian Users MikroTik | Форум пользователей MikroTik

Привет всем. Купил сегодня себе замечательную штуку Mikrotik rb951ui-2hnd и вот сижу развлекаюсь. По найденным в интернете мануалам, настроил работу роутера. Интернет есть, все вроде бы хорошо.
Но хотел бы попросить помочь мне настроить Firewall, т.к. сейчас там нет ни одного правила. Получается что у меня сейчас входящие порты все открыты? И роутер ни как не защищен? По инструкции что я скачал, там говорилось про настройку NAT и Firewall+ защиты роутера, это надо было через браузер набрать <ip router>/CFG и там якобы нас должно было забросить в настройку где можно было поставить галочки NAT+Firewall+защита роутера, как-то так. Так вот когда я пишу в браузере такую строку, то мне выдается "Невозможно отобразить страницу". Значит в этой модели другой подход? Т.к. мануал по которому я делал по модели от 751G.

Помогите создать грамотно правила? Буду очень признателен. Желательно через GUI интерфейс WinBox-а, а не командами, т.к. не знаю их синтаксиса
И правильно ли я настроил НАТ? Я зашел на вкладку НАТ Chain=srcnat, а на вкладке Action выбрано masquerade.

Спасибо!

p.s. и пока не очень понятно, как настроить фильтрацию по MAC, чтобы к моему WIFI могли подключаться только указанные MAC адреса.
Я посмотрел, в настройке Interface-WLAN1 в его свойствах, есть вкладки Access address List и Access Connection List, чем отличаются пока не понял, но ни тот ни другой не помог, все равно подключаются любые устройства к WIFI.

Синтаксис: http://wiki.mikrotik.com/wiki/Manual:Console

Пример базовой настройки Firewall: http://wiki.mikrotik.com/wiki/Manual:IP ... c_examples

спасибо. Обязательно изучу. Для меня немного странно и неудобно, если есть GUI зачем командами писать, но это наверное на любителя и для опытного Линуксоида. Мне бы для начала через визуальный интерфейс разобраться.....

А я правильно понимаю, что весь синтаксис в Mikrotik тот же самый что и в Линуксе, когда настраиваем iptables?
И можно на пальцах пояснить разницу между input, output (ну это в общем-то понятно) и зачем forward.
А то я для примера вчера делал правило, типа запретить всей внутренней подсети выход в инет, сделал output -> drop и группу задал. Не работает! Все ходят куда хотят! )

И не пойму как все таки ограничить доступ к своей сетки WIFI по MAC! Выше писал.

Спасибо за статьи, читаю, вникаю, более менее уже понятно.
Но вопрос такой:
Все таки пытаюсь сделать защиту роутера от "умных соседей" и т.п., т.е. позакрывать на его WAN все лишнее.
Сделал правило: (перечисляю заданные поля - это не команда)
Action=drop, направление=input, Src.Addresses=0.0.0.0, In.Interface=WAN
Ну типа, запретить подключение на внешний интерфейс с любого IP по любым протоколам! Правильно ли это суждение и настройка?

И решил проверить, что после этого у меня происходит на внешнем интерфейсе. Запустил сканер портов и просканил IP который у меня по договору с провайдером 10.51.ххх.ххх
И утилита сканирования нашла у меня открытых 53, 2000, 8291. Их назначение я знаю. Но все это я проверял с ноута, внутри своей же сети. Я так полагаю это неправильно, и сканер портов выдал мне не верную картину? Так ведь? Просто не пойму как проверить теперь защиту роутера.
Спасибо!

Вы главное, выше поставьте правило, по которому Вам разрешается с определенных машин заходить на роутер. А то придется резет делать, на роутер не попадете.

Ну у меня настроено пока так:
Я первым поставил правило "Заблокировать все" пришедшее с WAN для 0.0.0.0 (всех).
Вторым правилом у меня идет - "Разрешить только моему IP" пинги роутера внутри сети, остальным запрещено.
А чтобы в случае чего не потерять роутер, в IP-Services указал, кому можно к WinBox лезть в настройки - т.е. моя подсеть\24

Вот как мне блин проверить то, что снаружи закрыто все?

Смартом, чего проще.

podarok66 писал(а):Смартом, чего проще.

А можно подробнее? Что за смарт? Сканер какой?

Смартфон, устройство для сотовой телефонной связи с операционной системой на борту Я имел ввиду, что при работе через сотового оператора Вы по любому снаружи будете заходить))