Mikrotik Configuration
Mikrotik:General
Обозначения букв в интерфейсе WinBox [Mikrotik]
| Буква | Обозначение |
|---|---|
| X | Интерфейс выключен. |
| R | Означает что интерфейс включён, что соответствует активным светодиодам на самом устройстве. |
| S | Ведомый (Slave). |
Mikrotik:Firewall
Обозначения букв в интерфейсе таблиц Firewall
| Буква | Обозначение |
|---|---|
| E | expected (ожидаемый) |
| S | seen-reply (увиденный-ответ) |
| A | assured (уверенный) |
| C | confirmed (подтверждённый) |
| D | dying (умирающий) |
| F | fasttrack |
| s | srcnat (источник NAT) |
| d | dstnat (получатель NAT) |
Firewall Action
В цепочках можно осуществлять следующие действия
| Параметр | Действие |
|---|---|
| Accept | Разрешить |
| add-dst-to-address-list | Добавить ip назначение в список адресов указанный в Address List |
| add-src-to-address-list | Добавить ip источника в список адресов указанный в Address List |
| Drop | запретить |
| fasttrack-connection | Обрабатывать пакеты включив FastTrack т.е пакеты будут проходить по самому быстрому маршруту, минуя остальные правила firewall и обработку в очередях |
| Jump | Прыжок, переход на другую цепочку заданную в Jump target |
| log | Запись в лог |
| passthrough | Перейти к следующему правилу не делая никаких действий(полезно для сбора статистики) |
| Reject | Отбить пакет с причиной указанной в Reject with |
| Return | Вернуть пакет в цепочку из который он пришел |
| tarpit | захватывает и поддерживает TCP-соединения (отвечает с SYN / ACK на входящий пакет TCP SYN) |
Фильтрация в firewall
Фильтрация пакетов которые могут попасть в цепочки может осуществляться по
| Параметр | Описание |
|---|---|
| Src.Address | адрес источника |
| Dst.Address | адрес назначения |
| Protocol | Протокол(TCP, UDP и т.д) |
| Src.Port | порт источника |
| Dst.Port | порт назначения |
| In.Interface | входящий интерфейс |
| Out.Interface | исходящий интерфейс |
| Packet.Mark | метка пакета |
| Connection.Mark | метка соединения |
| Routing Mark | метка маршрута |
| Routing table | адрес получателя которых разрешен в конкретной таблице маршрутизации |
| Connection Type | тип соединения |
| Connection State | состояние соединения (установлено, новое и т.д) |
| Connection NAT State | цепочка NAT (srcnat, dstnat |
Обозначения терминов в интерфейсе IP:Firewall
| Термин | Обозначение |
|---|---|
| Filter | занимается фильтрацией трафика — определяет, пропустить пакет в сеть или отбросить его. Мы будем рассматривать работу только этой таблицы; |
| NAT | Network Address Translation. Изменяет проходящие пакеты. Поменять адрес источника или порт назначения — дело именно этой таблицы. В основном она используется для обеспечения доступа в интернет из локальной сети и обратно. Иногда без NAT невозможно работать в плохо спроектированных сетях, а ещё его, бывает, используют в качестве «костыля»; |
| Mangle | классифицирует и маркирует трафик и может менять некоторые поля в заголовке (TTL, ToS, DF). Применяется для построения сложных путей трафика (например, когда подключено два провайдера или нужны разные пути трафика для RDP и VoIP); |
| RAW | обрабатывает пакеты до их попадания в Connection Tracking. Пригодится для защиты от DoS или при работе с большими объёмами трафика. |
Цепочка обработки в таблице IP:Firewall:Filter
| Термин | Обозначение |
|---|---|
| input | трафик к самому роутеру. Обязательное условие попадания в input — адресом назначения пакета должен быть один из адресов роутера, широковещательный адрес сети или широковещательный адрес работающей на роутере службы. Сюда попадает WinBox, SSH, WebFig, ping, VPN и другой трафик, предназначенный роутеру. В этой цепочке мы должны защищать сам роутер; |
| output | трафик от роутера. Ответы на прилетевшее в input или новые пакеты от роутера (PING, VPN, SSH-сессия с самого роутера). Эта цепочка редко используется, так как часто роутер считается доверенным звеном и пакеты, генерируемые им, по умолчанию легитимны. Но, как показывает история взломов, контроль исходящего трафика может выявить заражение на начальных этапах; |
| forward | трафик, проходящий через роутер (когда пакет прилетел в один интерфейс и вылетел с другого или того же самого). Трафик из локальной сети в интернет, из интернета в локальную сеть, из одного VLAN локальной сети в другой; |
| user chains | пользовательские цепочки. Администратор может создавать цепочки правил по своему усмотрению. Это бывает полезно для декомпозиции больших конфигураций. К примеру, можно весь трафик на порты 80 и 443 завернуть в отдельную цепочку WEB и в ней уже делать десятки правил для фильтрации — это визуально упростит настройку, хотя качественно на прохождение трафика не повлияет. |
Категории статуса соединения
| Состояние | Описание |
|---|---|
| New | исходя из названия ясно, что это новое соединение, а не одно из существующих. |
| Established | соединение установлено, по нему можно передавать пакеты данных. |
| Related | соединение, которое относится уже к какому-либо из существующих, но используемое в иных целях. |
| Invalid | некорректное соединение, то есть маршрутизатор понятия не имеет, что это за соединение и как его обрабатывать. |
Mikrotik:CLI
Экспорт логов через консольную строку
Для сохранения всего лог журнала, нужно набрать команды в разделе LeftSideMenu:Terminal:
>log
>print file=Console.log
Mikrotik:Notes
Извлечение AddressList из IP:Firewall
Для извлечения таблицы IP адресов прошедших через фильтра и попавшие в AddressList применяется команда:
/ip firewall address-list print file=ssh_blacklist where list=ssh_blacklist
Где
File= указывается наименование выходного файла
list= указывается наименование экспортируемого AddressList
Изменение MAC адреса на интерфейсе
Как же изменить mac адрес MikroTik? Заходим в терминал щёлкая new terminal в winbox и пишем:
/interface ethernet set ether1 mac-address=XX:XX:XX:XX:XX:XX
ether1 - интерфейс на котором меняем MAC
XX:XX:XX:XX:XX:XX - новый МАС
Можно сбросить прописанный MAC с помощь WinBox нажав кнопочку Reset MAC Address:
Сброс MAC адреса на стандартные
Номера интерфейсов (ether1 = 0, ether2 = 1, …):
interface ethernet reset-mac-address 0
Отображение имени интерфейса(порта) по умолчанию
/interface ethernet print detail
Установка имени интерфейса(порта) по умолчанию
/interface ethernet set [ find default-name=ether1 ] name=ether1
Изменить MAC для BRIDGE
/interface bridge set Bridge1 admin-mac=00:00:00:00:00:02 auto-mac=no