Firewall: Các bước bảo mật khi triển khai thiết bị mikrotik
Tạo rule để bảo mật thiết bị mikrotik như sau: (Rule 1, rule 2 và rule n không thay đổi)
Rule 1: Cho phép các kết nối tồn tại (trả về)
rule này nằm vị trí đầu tiên
Vào IP > Firewall > Filter rules > +
Chain = input connection-state = established,related action = accept comment = "Allow established,related"
Rule 2: Chặn các kết nối lỗi (loại bỏ packet lỗi /scan /tấn công)
rule này nằm vị trí thứ 2
Vào IP > Firewall > Filter rules > +
Chain = input connection-state = invalid action = drop comment = “Drop invalid"
-- các rule khác đặt ở đây
VD 1: tạo rule mở kết nối VPN (L2tp/IPsec và PPTP)
Rule 3: Tạo rule cho phép kết nối VPN
Cho phép Ipsec VPN
Rule 3.1
Chain = input Protocol = udp Dst port = 500,4500 action = accept comment = “Cho phep VPN IPsec”
Rule 3.2
Chain = input Protocol = 50 (ipsec-esp) action = accept comment = “Cho phep VPN IPsec”
Rule 3.3: Cho phép gói tin mã hoá ipsec đi vào router
Chain = input Ipsec Policy = in,ipsec action = accept comment = “Cho phep goi tin Ipsec vao router”
Rule 3.4: Cho phép gói tin mã hoá ipsec đi xuyên qua router vào mạng LAN
Chain = forward Ipsec Policy = in,ipsec action = accept comment = “Cho phep goi tin Ipsec từ router vào LAN”
Rule 3.5: Cho phép vpn L2TP
Chain = input Protocol = udp Dst Port = 1701 ipsec-policy = in, ipsec action = accept comment = “Cho phép VPN L2tp”
Rule 3.6: Cho phép vpn PPTP
Chain = input Protocol = tcp Dst Port = 1723 action = accept comment = “Cho phép VPN PPTP”
Rule 3.7: Cho phép vpn PPTP (gre)
Chain = input Protocol = 47 (gre) action = accept comment = “Cho phép VPN PPTP Gre”
VD 2: tạo rule mở kết nối VPN site to site WireGuard giữa 2 thiết bị mikrotik
Rule 3: Tạo rule cho phép kết nối Wireguard (sau khi tạo rule này thì tiến hành tạo kết nối vpn site to site bằng wireguard)
Chain = input Protocol = 17 (udp) Dst. Port = 51820 In. Interface List = WAN_List action = accept comment = “Wireguard”
Rule 4: Tạo rule cho phép mạng nội bộ 2 site kết nối với nhau (vd: cho lớp mang 140.0 ở CN giao tiếp với 20.0 ở VPC)
Chain = forward Src. Address = 192.168.140.0/24 Dst. Address = 192.168.20.0/24 action = accept comment = “140.0 vao 20.0”
Rule 5: Tạo rule theo chiều ngược lại:
Chain = forward Src. Address = 192.168.20.0/24 Dst. Address = 192.168.140.0/24 action = accept comment = “20.0 vao 140.0”
Rule n: Chặn toàn bộ các kết nối mới
rule này nằm vị trí cuối cùng
IP > Firewall > Filter rules > +
chain = input in-interface-list=WAN_list connection-state = new action = drop comment ="Drop all new"
Sau khi tạo rule này thì tất cả các kết nối tới sẽ bị chặn. Để chạy các dịch vụ nào đó thì tạo rule cho phép dịch vụ đó. (nằm trước rule này là được.)
Tạo WAN_List: Vào interfaces > tab Interface List Chọn List > chọn + đặt tên WAN_list
Add các đường WAN vào WAN_list vừa tạo: interfaces > tab Interface List > chon + > tại cửa sổ New Interface List Member > List: Chọn WAN_list, Interface chọn các đường WAN đã kết nối PPPoe. Có bao nhiêu đường thì add hết
Thứ tự các rule: rất quan trọng
1. established,related
2. invalid
3. VPN (IPsec, L2TP, PPTP, WireGuard..)
4. rule cho phép dịch vụ khác (Winbox, SSH… nếu có)
5. rule chặn (DNS, ICMP…)
6. DROP ALL (cuối cùng)
