Mikrotik Configuration
Mikrotik:General
Обозначения букв в интерфейсе WinBox [Mikrotik]
Буква | Обозначение |
---|---|
X | Интерфейс выключен. |
R | Означает что интерфейс включён, что соответствует активным светодиодам на самом устройстве. |
S | Ведомый (Slave). |
Mikrotik:Firewall
Обозначения букв в интерфейсе таблиц Firewall
Буква | Обозначение |
---|---|
E | expected (ожидаемый) |
S | seen-reply (увиденный-ответ) |
A | assured (уверенный) |
C | confirmed (подтверждённый) |
D | dying (умирающий) |
F | fasttrack |
s | srcnat (источник NAT) |
d | dstnat (получатель NAT) |
Firewall Action
В цепочках можно осуществлять следующие действия
Параметр | Действие |
---|---|
Accept | Разрешить |
add-dst-to-address-list | Добавить ip назначение в список адресов указанный в Address List |
add-src-to-address-list | Добавить ip источника в список адресов указанный в Address List |
Drop | запретить |
fasttrack-connection | Обрабатывать пакеты включив FastTrack т.е пакеты будут проходить по самому быстрому маршруту, минуя остальные правила firewall и обработку в очередях |
Jump | Прыжок, переход на другую цепочку заданную в Jump target |
log | Запись в лог |
passthrough | Перейти к следующему правилу не делая никаких действий(полезно для сбора статистики) |
Reject | Отбить пакет с причиной указанной в Reject with |
Return | Вернуть пакет в цепочку из который он пришел |
tarpit | захватывает и поддерживает TCP-соединения (отвечает с SYN / ACK на входящий пакет TCP SYN) |
Фильтрация в firewall
Фильтрация пакетов которые могут попасть в цепочки может осуществляться по
Параметр | Описание |
---|---|
Src.Address | адрес источника |
Dst.Address | адрес назначения |
Protocol | Протокол(TCP, UDP и т.д) |
Src.Port | порт источника |
Dst.Port | порт назначения |
In.Interface | входящий интерфейс |
Out.Interface | исходящий интерфейс |
Packet.Mark | метка пакета |
Connection.Mark | метка соединения |
Routing Mark | метка маршрута |
Routing table | адрес получателя которых разрешен в конкретной таблице маршрутизации |
Connection Type | тип соединения |
Connection State | состояние соединения (установлено, новое и т.д) |
Connection NAT State | цепочка NAT (srcnat, dstnat |
Обозначения терминов в интерфейсе IP:Firewall
Термин | Обозначение |
---|---|
Filter | занимается фильтрацией трафика — определяет, пропустить пакет в сеть или отбросить его. Мы будем рассматривать работу только этой таблицы; |
NAT | Network Address Translation. Изменяет проходящие пакеты. Поменять адрес источника или порт назначения — дело именно этой таблицы. В основном она используется для обеспечения доступа в интернет из локальной сети и обратно. Иногда без NAT невозможно работать в плохо спроектированных сетях, а ещё его, бывает, используют в качестве «костыля»; |
Mangle | классифицирует и маркирует трафик и может менять некоторые поля в заголовке (TTL, ToS, DF). Применяется для построения сложных путей трафика (например, когда подключено два провайдера или нужны разные пути трафика для RDP и VoIP); |
RAW | обрабатывает пакеты до их попадания в Connection Tracking. Пригодится для защиты от DoS или при работе с большими объёмами трафика. |
Цепочка обработки в таблице IP:Firewall:Filter
Термин | Обозначение |
---|---|
input | трафик к самому роутеру. Обязательное условие попадания в input — адресом назначения пакета должен быть один из адресов роутера, широковещательный адрес сети или широковещательный адрес работающей на роутере службы. Сюда попадает WinBox, SSH, WebFig, ping, VPN и другой трафик, предназначенный роутеру. В этой цепочке мы должны защищать сам роутер; |
output | трафик от роутера. Ответы на прилетевшее в input или новые пакеты от роутера (PING, VPN, SSH-сессия с самого роутера). Эта цепочка редко используется, так как часто роутер считается доверенным звеном и пакеты, генерируемые им, по умолчанию легитимны. Но, как показывает история взломов, контроль исходящего трафика может выявить заражение на начальных этапах; |
forward | трафик, проходящий через роутер (когда пакет прилетел в один интерфейс и вылетел с другого или того же самого). Трафик из локальной сети в интернет, из интернета в локальную сеть, из одного VLAN локальной сети в другой; |
user chains | пользовательские цепочки. Администратор может создавать цепочки правил по своему усмотрению. Это бывает полезно для декомпозиции больших конфигураций. К примеру, можно весь трафик на порты 80 и 443 завернуть в отдельную цепочку WEB и в ней уже делать десятки правил для фильтрации — это визуально упростит настройку, хотя качественно на прохождение трафика не повлияет. |
Категории статуса соединения
Состояние | Описание |
---|---|
New | исходя из названия ясно, что это новое соединение, а не одно из существующих. |
Established | соединение установлено, по нему можно передавать пакеты данных. |
Related | соединение, которое относится уже к какому-либо из существующих, но используемое в иных целях. |
Invalid | некорректное соединение, то есть маршрутизатор понятия не имеет, что это за соединение и как его обрабатывать. |
Mikrotik:CLI
Экспорт логов через консольную строку
Для сохранения всего лог журнала, нужно набрать команды в разделе LeftSideMenu:Terminal:
>log
>print file=Console.log
Mikrotik:Notes
Извлечение AddressList из IP:Firewall
Для извлечения таблицы IP адресов прошедших через фильтра и попавшие в AddressList применяется команда:
/ip firewall address-list print file=ssh_blacklist where list=ssh_blacklist
Где
File= указывается наименование выходного файла
list= указывается наименование экспортируемого AddressList
Изменение MAC адреса на интерфейсе
Как же изменить mac адрес MikroTik? Заходим в терминал щёлкая new terminal в winbox и пишем:
/interface ethernet set ether1 mac-address=XX:XX:XX:XX:XX:XX
ether1 - интерфейс на котором меняем MAC
XX:XX:XX:XX:XX:XX - новый МАС
Можно сбросить прописанный MAC с помощь WinBox нажав кнопочку Reset MAC Address:
Сброс MAC адреса на стандартные
Номера интерфейсов (ether1 = 0, ether2 = 1, …):
interface ethernet reset-mac-address 0
Отображение имени интерфейса(порта) по умолчанию
/interface ethernet print detail
Установка имени интерфейса(порта) по умолчанию
/interface ethernet set [ find default-name=ether1 ] name=ether1
Изменить MAC для BRIDGE
/interface bridge set Bridge1 admin-mac=00:00:00:00:00:02 auto-mac=no