Статьи


20.12.2017

Закрываем порты на Mikrotik

Содержание

  1. Закрываем 53 порт
  2. Отключаем стандартные порты
  3. Закрываем любой порт

Смотрите более полную инструкцию о том, как защитить свой Mikrotik от взлома

Закрываем 53 порт для доступа из вне

Итак, начнем с простого. Поскольку микротик имеет на борту свой собственный DNS сервер, то 53 порт смотрит у него наружу и просит его использовать. Чем грозит открытый 53 порт? Падением скорости вашего интернет-соединения. В моей практике был случай, когда в качестве роутера стоял Mikrotik RB951Ui. Провайдер давал 80 мегабит канал, а фактическая скорость у клиента не превышала 2-3 мегабита. Клиент ругался с провайдером, приезжали монтажники, проверяли линию, но все тщетно. Когда я приехал, то сделал следующее.

Подключаемся к нашему пациенту по Winbox и открываем раздел IP->Firewall->Filter Rules. На скриншоте ниже у меня уже добавлены необходимые правила для обработки трафика на 53 порту.


Что бы сделать так же, добавляем первое правило.

  1. Chain – input
  2. Protocol – 17(udp)
  3. Dst.port – 53
  4. In.interface – ваш интерфейс, куда включен шнурок провайдера. В моем случае это pppoe-соединение Ростелекома.
  5. Action – add src to address list
  6. Address List – DNS_FLOOD (название может быть любым)


И второе правило.
  1. Chain – input
  2. Protocol – 17(udp)
  3. Dst.port – 53
  4. In.Interface – ваш интерфейс, куда включен провайдер
  5. Action – drop


На этом все. Ваш микротик защищен от DNS флуда и канал теперь свободен. Добавив только эти два правила клиент увидел заявленную от провайдера скорость и был рад по самые помидоры. Но есть и другие сервисы и порты, которые в микротике по-умолчанию включены и принимают подключения.

Отключаем стандартные порты

Обычные пользователи не обращают на них внимания, но я рекомендую всем либо выключить к ним доступ, либо настроить правила фильтрации. Самое простое, как закрыть порты:

Заходим IP-Services и видим список портов. Я всегда закрываю все, кроме Winbox потому что мне нет в них необходимости. Можно просто выключить, а можно изменить номер порта на тот, который вам нравится, но стоит быть внимательными, не советую менять порты 443, 80. Это служебные порты и их изменение может привести к потере доступа в Интернет. У меня выглядит вот так:


Закрываем любой порт

Для того, что бы закрыть любой порт для подключения из внешней сети достаточно одного правила, которое по своей сути очень простое. В нем мы указываем тип трафика – снаружи, номер порта или диапазон портов, на каком интерфейсе слушать и что с этим трафиком делать. Для примера давайте закроем порт 8080.

IP->Firewall->Filter Rules->New Firewall rule (синий плюсик)

  1. Chain – input
  2. Protocol – tcp
  3. Dst.port – 8080
  4. In.Interface – ваш интерфейс
  5. Action – drop

Все! Вот так просто! Порт закрыт. Но будьте предельно аккуратны, не стоит беспорядочно закрывать все. В mikrotike с завода идет принцип запрещено все, что не разрешено. Поэтому сильно заморачиваться нет необходимости.

В следующий раз напишу, как закрыться от брутфорса и флуда, если нет возможности закрыть порт целиком.

Закрываем порты на Mikrotik

В комментариях к старой теме о настройке Queues Tree попросили написать статейку по защите микротика от атак. Тут я призадумался. В сети полно статей различного рода с рекомендациями на целую простыню, как блокировать брутфорс и закрывать порты для доступа из вне. Если честно мне не совсем понятно зачем так извращаться. На своем оборудовании я всегда блокирую только 53 порт. Остальное либо закрыто по-умолчанию, либо отключается в разделе IP. Тем не менее напишу несколько рекомендаций, что бы закрыть основные дыры.