+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Зональный файервол для Mikrotik

Зональный файервол для Mikrotik, RouterOS

shaoranrch

Guest

12.02.2016 23:40:00

Итак, я публикую это, чтобы люди могли использовать и дополнять. Это мой подход к зональному файрволу (или ZBF). У меня это настроено на нескольких роутерах в продакшене (RB1100, hAP-Lite и CCR1009). Для тех, кто не знает, ZBF — это метод фильтрации трафика, основанный на степени доверия к интерфейсу. Здесь не важно IP-адрес, важно, откуда трафик пришёл (с какого интерфейса) и куда идёт (тоже интерфейс). К определённым потокам всегда применяется общий набор правил (например, с доверенного интерфейса на недоверенный). Для меня такой подход проще в обслуживании, но, к сожалению, Mikrotik не поддерживает это напрямую. Скрипты настраивают всё, чтобы файрвол работал как ZBF. Более того, добавлены две функции для добавления и удаления интерфейсов из конкретного уровня безопасности. Создаётся всего четыре зоны: Inside, Outside, Dmz, Firewall. Всё подробно описано в README. https://github.com/shaoranrch/mikrotik_zbf.git Надеюсь, вам понравится, и пишите свои мысли или рекомендации.

bruins0437

Guest

03.08.2017 11:49:00

Но если я хочу починить свою текущую настройку, есть ли простой способ подключить CAN-интерфейсы? Я пробовал использовать мостовые интерфейсы, чтобы объединить все подинтерфейсы (надеясь, что это включит VLANы). Но это не сработало. С уважением, Эрик

bruins0437

Guest

03.08.2017 04:01:00

Спасибо, что поделились этим. Я собираюсь попробовать и потом отчитаться. Мне тоже больше нравятся настройки брандмауэра на основе зон. Я запускал скрипт на Mikrotik без дефолтной конфигурации, добавил свои VLANы, подсети, DHCP и так далее, но когда включаю все правила (особенно три, которые «ОТКАЗАТЬ ВСЕМ ПАКЕТАМ * НА ИНТЕРФЕЙС БЕЗ ОПРЕДЕЛЕННОЙ ЗОНЫ БЕЗОПАСНОСТИ»), что-то не так. Возможно, это из-за VLAN-интерфейсов? Если да, то как добавить VLAN-интерфейсы во внутреннюю зону? Текущее распределение портов: Ether1 (Outside), Ether2 (Inside), Ether3 (DMZ). VLANы на Ether2 и другие тестовые VLANы на Ether3.

С уважением,
config_snip.txt (4.66 KB)
С уважением, Эрик

pe1chl

Guest

03.08.2017 08:05:00

На самом деле, в новой версии 6.40 это включено по умолчанию. Обновите роутер до 6.40 и сбросьте настройки до заводских, чтобы увидеть, как это выглядит. Создаются «списки интерфейсов», и внутренние и внешние интерфейсы складываются в списки «LAN» и «WAN», которые затем используются в правилах по умолчанию. Конечно, если хотите фильтровать более агрессивно, вам всё равно придется расширять этот базовый фаервол своими правилами, но отправная точка уже есть. Здесь не используются «jump»-правила, что оправдано для такого маленького фаервола, но вы всегда можете это поменять (например, переходить к правилу WAN для трафика, входящего из списка интерфейсов WAN и т.д.). На самом деле, в более сложных сетях я тоже так делаю, так как это работает лучше по производительности и понятнее, чем простое сравнение списка интерфейсов в каждом правиле.

shaoranrch

Guest

03.08.2017 12:00:00

Привет! Если посмотреть на дату этого поста, то я написал его задолго до того, как были внесены такие изменения. Я обновил этот настройку, чтобы использовать списки вместо создания кучи правил перехода между интерфейсами. Просто не обновлял репозиторий, потому что никто им не пользовался. Переключение зон при этом осталось, ведь именно так я хотел контролировать трафик, и это нужно для имитации поведения zbf, но теперь добавлять и удалять зоны и интерфейсы из зон стало проще (большая благодарность спискам интерфейсов). Enviado desde mi SAMSUNG-SM-G920A mediante Tapatalk

shaoranrch

Guest

03.08.2017 12:06:00

Привет, Эрик! Да, нужно добавить VLAN-интерфейсы в зону, там в правилах стоят значения по умолчанию. То, что ты упомянул, по сути блокирует всё, что не привязано к зоне безопасности. В любом случае, когда я писал эту конфигурацию, добавлять интерфейсы в зону было довольно сложно, поэтому там есть функция, которая делает всё за тебя. Но теперь это проще и аккуратнее благодаря некоторым изменениям от Mikrotik. Постараюсь найти время, чтобы обновить этот репозиторий.

Отправлено с моего SAMSUNG-SM-G920A через Tapatalk

bruins0437

Guest

03.08.2017 12:13:00

Это было бы круто! Спасибо за ответ, учитывая, что тема уже старая. Мне просто показалось это интересным. Я попробовал команду $zbf add 1 Ether2_Vlan100, но выдало что-то вроде «не удалось добавить, не удалось найти интерфейс». Ещё одно обновление: я добавил подсеть к исходному IP-адресу для каждого из трёх правил DROP, и это сработало. На скриншоте я создал AddressList для локальных подсетей. Скорее всего, это не самый правильный способ сделать, но пока работает.

С уважением, Эрик

bruins0437 Guest	#8 0 11.08.2017 01:33:00 Привет, shaoranrch, хотел узнать, найдёшь ли время выложить обновлённый скрипт Zone Based Firewall? Был бы очень признателен за помощь. Спасибо, Эрик.

shaoranrch Guest	#9 0 11.08.2017 02:04:00 Привет, извини, что не было времени проверить это. Сделаю на этих выходных, последние дни голова была совсем в другом месте. Отправлено с моего SAMSUNG-SM-G920A через Tapatalk

shaoranrch

Guest

#10

12.08.2017 01:34:00

Привет, shaoranrch! Интересно, найдёшь ли ты время выложить обновлённый скрипт Zone Based Firewall? Был бы очень признателен за помощь. Спасибо, Эрик. Я только что обновил репозиторий, можешь проверить сейчас. С уважением.

bruins0437 Guest	#11 0 12.08.2017 04:36:00 Ты лучший!! Спасибо!! Отправлено с моего Pixel XL через Tapatalk

chillisock7 Guest	#12 0 29.04.2018 17:48:00 Этот очень простой – http://forum.mikrotik.com/t/zone-based-firewall/119008/1

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры