Вступ

Firewall у MikroTik RouterOS є одним із ключових механізмів захисту мережевої інфраструктури. Він забезпечує гнучке керування трафіком та дозволяє будувати як базові, так і складні політики безпеки. Проте за відсутності коректної конфігурації маршрутизатор швидко стає вразливою точкою та потенційною ціллю для зовнішніх атак.

Найпоширеніші загрози для неконфігурованого або неправильно захищеного MikroTik включають:

• brute-force атаки на сервіси керування (SSH, WinBox, RDP);

• UDP та ICMP flood, що призводять до деградації продуктивності;

• DDoS-сканування та масові автоматизовані атаки;

• спроби експлуатації відкритих або стандартно налаштованих сервісів.

У даній статті розглянуто практичний підхід до побудови firewall-політик у MikroTik RouterOS, а саме:

• базовий рівень захисту, який є обов’язковим мінімумом для будь-якого маршрутизатора;

• розширений рівень захисту, що включає honeypot-механізми, елементи DDoS-захисту та VLAN-ізоляцію;

• приклади готових firewall-правил, сформованих на основі реальних конфігурацій та рекомендованих практик.

Матеріал орієнтований на системних адміністраторів та мережевих інженерів і може бути використаний як основа для захисту MikroTik у SOHO, Enterprise та провайдерських середовищах.

Принципи побудови firewall

1. Allow established / related — першими

2. Whitelist завжди вище блокувань

3. Input ≠ Forward

4. Drop everything else (default deny)

5. Rate-limit замість повної заборони

6. Address-list для динамічного блокування

1. Дозвіл established / related з’єднань

/ip firewall filter
add chain=input action=accept connection-state=established,related,untracked comment="Allow established/related"
add chain=forward action=accept connection-state=established,related,untracked comment="Allow forward established/related"

2. Блокування некоректних пакетів

add chain=input action=drop connection-state=invalid comment="Drop invalid input"
add chain=forward action=drop connection-state=invalid comment="Drop invalid forward"

3. Доступ до роутера лише з LAN та whitelist

add chain=input action=accept in-interface-list=LAN comment="Allow LAN access"
add chain=input action=accept src-address-list=WhiteList comment="Allow whitelist access"

4. Обмеження ICMP (ping flood protection)

add chain=input action=accept protocol=icmp limit=2,5:packet comment="Allow limited ICMP"
add chain=input action=drop protocol=icmp comment="Drop excessive ICMP"

5. Захист від UDP flood

add chain=input action=accept protocol=udp limit=50,5:packet comment="Allow limited UDP"
add chain=input action=drop protocol=udp comment="Drop UDP flood"

6. Заборона доступу з WAN за замовчуванням

add chain=input action=drop in-interface-list=WAN comment="Drop all WAN input"

РОЗШИРЕНИЙ ЗАХИСТ MIKROTIK

7. Honeypot для SSH / WinBox / RDP / SIP

Атака фіксується, IP автоматично блокується.

add chain=input action=add-src-to-address-list \
    connection-state=new protocol=tcp \
    dst-port=22,8291,3389,5060 \
    in-interface-list=WAN \
    address-list=Honeypot_Hacker \
    address-list-timeout=4w2d \
    comment="Honeypot SSH/WinBox/RDP/SIP"

add chain=input action=drop src-address-list=Honeypot_Hacker comment="Drop honeypot attackers"

8. Захист від DDoS (динамічні address-list)

Тимчасовий список

add chain=input action=add-src-to-address-list \
    protocol=tcp connection-state=new \
    src-address-list=!WhiteList \
    address-list=ddos_temp address-list-timeout=5m \
    comment="Track new TCP"

Перенесення в blacklist

add chain=input action=add-src-to-address-list \
    src-address-list=ddos_temp \
    address-list=ddos_blacklist address-list-timeout=12h \
    comment="Move to blacklist"

Блокування

add chain=input action=drop src-address-list=ddos_blacklist comment="Drop blacklisted IPs"
add chain=forward action=drop src-address-list=ddos_blacklist comment="Drop blacklisted forward"

9. VLAN-ізоляція

add chain=forward action=jump jump-target=VLAN_CHECK comment="VLAN isolation"
add chain=VLAN_CHECK action=drop in-interface=vlan10 out-interface=vlan20 comment="Block VLAN10 -> VLAN20"
add chain=VLAN_CHECK action=drop in-interface=vlan20 out-interface=vlan10 comment="Block VLAN20 -> VLAN10"
add chain=VLAN_CHECK action=return

10. Контроль SSH доступу

add chain=forward action=accept protocol=tcp src-address-list=WhiteList dst-port=22 comment="Allow SSH whitelist"
add chain=forward action=drop protocol=tcp dst-port=22 comment="Drop SSH others"

11. LAN → WAN політики

add chain=forward action=accept in-interface-list=LAN out-interface-list=WAN comment="Allow LAN to WAN"

12. Публічні сервіси (NAT / DMZ)

add chain=forward action=accept protocol=tcp dst-port=80,443 comment="Allow HTTP/HTTPS"
add chain=forward action=accept protocol=tcp dst-port=8006 comment="Allow Proxmox UI"

13. FastTrack (опціонально)

add chain=forward action=fasttrack-connection connection-state=established,related hw-offload=yes comment="FastTrack"

14. Default deny (обов’язково в кінці)

add chain=forward action=drop comment="Drop everything else"

Address-list, які необхідно створити

/ip firewall address-list
add list=WhiteList address=YOUR_IP comment="Admin IP"
add list=Trusted_Network address=192.168.0.0/24