Меню Рубрики

Настроить firewall и nat на роутере mikrotik

Настройка NAT на маршрутизаторах Mikrotik

Для настройки NAT маршрутизатора Микротик сначала скачиваем утилиту winbox и подключаемся к роутеру, где скачать, и инструкция по подключению описано здесь. Настроить Мikrotik NAT на маршрутизаторе можно несколькими способами, рассмотрим их по порядку.

Нужно разобраться с MikroTik, но не определились с чего начать? В курсе «Настройка оборудования MikroTik» все по порядку. Подойдет и для начала работы с этим оборудованием, и для того, чтобы систематизировать знания. Это видеокурс из 162 уроков и 45 лабораторных работ, построен на официальной программе MTCNA. Проходить можно, когда удобно и пересматривать по необходимости – материалы курса выдаются бессрочно. Также есть 30 дней на личные консультации с автором. На пробу выдают 25 уроков бесплатно, заказать их можно на странице курса.

Простая настройка NAT

После подключения к роутеру открываем вкладку NAT меню ip-firewall, нажимаем кнопку добавить новое правило(красный крестик)

В открывшемся окне, вкладка General заполняем минимально необходимые поля

Chain-канал приемник, нам нужно принимать из локальной сети, поэтому выбираем srcnat

Out.Interface – Внешний интерфейс маршрутизатора, тот которым он смотрит в интернет

Далее открываем вкладку Action

В поле Action выбираем masquerade(Маскарад). Теперь будет происходить подмена локальных ip, адресом предоставленный провайдером. Минимальная настройка НАТ на Mikrotik закончена. Рассмотрим более сложную настройку NAT на Микротик.

Настройка NAT для нескольких внешних ip

Если провайдер выделяет несколько внешних ip, или у нас подключены несколько операторов, и мы хотим сделать выход из разных подсетей или локальных ip в интернет под разными адресами, то есть несколько способов.

  1. Если внешние ip настроены на разных интерфейсах маршрутизатора. Здесь все просто, прописываем Src.Address нужный ip или сеть, а исходящим интерфейсом выбираем нужный интерфейс .

Указываем в source ip нужные подсети, или одиночные ip адреса. В указанном примере, все пакеты от компьютеров с ip 192.168.0.2-192.168.0.127 будут идти через интерфейс ether1-gareway, а пакеты с 192.168.0.128-192.168.0.255 будут идти с интерфейса ether2-gateway, соответственно в интернете они будут видны под ip address этих интерфейсов.

  1. Если от провайдера приходит один провод по которому нам дают несколько внешних ip, нам не хочется задействовать для каждого соединения свой порт, то все внешние ip можно настроить на одном порту

К примеру у нас на одном порту настроены ip address 1.1.1.1, 2.2.2.2 и целая сеть 3.3.3.3/24 как показано на рисунке

Нам нужно настроить выход для разных локальных компьютеров с внешних ip 1.1.1.1, 2.2.2.2 3.3.3.3 и 3.3.3.4.

Рассмотрим настройки на примере интерфейса с ip 3.3.3.4, все остальные будут идентичны

На вкладке General указываем только Src.Address, сеть или local с которого будут идти пакеты. Далее на вкладке Action делаем следующие настройки

В поле Action выбираем dst-nat или netmap. Отличие dst nat от netmap заключается в том, что netmap новый и улучшенный вариант dst nat. Поэтому я использую его.

В поле To Address прописываем адрес под котором нужно что бы наша сеть выходила в интернет.

Также в поле действия можно выбрать следующие операции.

Accept – принять будет принят и пройдет через маршрутизатор без изменений

add-dst-to-address-list — добавить address назначения в список адресов, заданный параметром address-list

add-src-to-address-list — добавить address источника в список адресов, указанный параметром address-list

dst-nat — заменяет address назначения и / или порт IP-пакета на значения, заданные параметрами-адресами и портами, этот параметр бвыше был рассмотрен

jump — переход к определяемой пользователем цепочке, заданной значением параметра target-jump

log — добавить сообщение в системный журнал, содержащий следующие данные: in-interface, out-interface, src-mac, protocol, src-ip: port-> dst-ip: порт и длина пакета. После согласования пакета он переходит к следующему правилу в списке, аналогично переходу

masquerade — Маскарад рассмотренный в начале статьи. Подмена внутреннего адреса машины из локальной сети на адрес роутера;

netmap — создает статическое отображение 1: 1 одного набора IP-адресов другому. Часто используется для распространения общедоступных IP-адресов на хосты в частных сетях

passthrough — если пакет соответствует правилу, увеличьте счетчик и перейдите к следующему правилу (полезно для статистики).

redirect — заменяет порт назначения IP-пакета на один, заданный параметром-портом-портом и адресом назначения на один из локальных адресов маршрутизатора

return — передает управление обратно в цепочку, откуда произошел прыжок

same — дает конкретному клиенту один и тот же IP-адрес источника / получателя из заданного диапазона для каждого соединения. Это чаще всего используется для служб, ожидающих одного и того же адреса клиента для нескольких подключений от одного и того же клиента

src-nat — заменяет исходный адрес IP-пакета на значения, заданные параметрами to-addresses и to-ports

Если нужно настроить проброс портов из интернета на ресурсы локальной сети, то как это сделать подробно описано здесь

Обучающий курс по настройке MikroTik

Нужно разобраться с MikroTik, но не определились с чего начать? В курсе «Настройка оборудования MikroTik» все по порядку. Подойдет и для начала работы с этим оборудованием, и для того, чтобы систематизировать знания. Это видеокурс из 162 уроков и 45 лабораторных работ, построен на официальной программе MTCNA. Проходить можно, когда удобно и пересматривать по необходимости – материалы курса выдаются бессрочно. Также есть 30 дней на личные консультации с автором. На пробу выдают 25 уроков бесплатно, заказать их можно на странице курса.

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.

Источник

Настройка Firewall для роутера Mikrotik

В последнее время отчётливо можно проследить тенденцию к покупке девайсов повышенной сложности в использовании. Ярким примером тому является серия роутеров от Mikrotik, которыми стали пользоваться даже самые незнающие потребители. Конечно, после покупки и первого подключения устройство будет функционировать, но без должной базовой настройки microtik firewall и NAT ваша сеть будет как никогда уязвимой для самых различных злоумышленников извне.

Для полноценной и свободной работы или сёрфинга в интернете достаточно небольшого набора правил в firewall mikrotik настройках, а также в NAT, от этого зависит безопасность ваших данных.

Но для начала стоит в общих чертах понять суть правил файрвола:

  • Chain – цепь, получаемая при вводе своего названия
  • Scr. Address – адрес источника пакета
  • Dst. Address – адрес назначения пакета
  • Protocol – протокол подключения
  • Scr. Port – порт, со стороны которого поступил пакет.
  • Dst. Port – порт, на который поступил пакет
  • Any Port – абсолютно любой порт
  • P2P – протокол, к которому относится пакет
  • In Interface – Интерфейс, после передачи пакета
  • Out Interface – Интерфейс, в который передаётся пакет
  • Packet Mark – Пакет определённой маркировки
  • Connection Mark – – Пакет определённой маркировки
  • Routing Mark – Пакет определённой маркировки
  • Connection Type – Пакет определённого вида соединения

Firewall команды

Итак, разобравшись в общих чертах работы файрвола, мы можем приступать к непосредственному добавлению правил в него. Стоит сразу отметить, что данный свод правил является базовым и наиболее сбалансированным, без лишних деталей. Иначе говоря, данные настройки подойдут любому обычному пользователю интернета, продвинутые же пользователю не обратят внимания на данную статью в силу ненадобности.

1.Первым делом мы разрешим пинги:

add chain=input action=accept protocol=icmp

add chain=forward action=accept protocol=icmp

2.Затем дадим доступ установленным подключениям:

add chain=input action=accept connection-state=established

add chain=forward action=accept connection-state=established

3.Разрешим все подключения локальной сети:

add chain=input action=accept src-address=192.168.1.0/24 in-interface=!ether2

4.Также поступим и с связанными подключениями:

add chain=input action=accept connection-state=related

add chain=forward action=accept connection-state=related

5.Настраиваем подключения для торрента:

add chain=forward action=accept protocol=tcp in-interface=ether2 dst-port=45000

6.Отключаем доступ к неработающим подключениям:

add chain=input action=drop connection-state=invalid

add chain=forward action=drop connection-state=invalid

7.Вдобавок отсоединяемся от всех прочих входящих подключений

add chain=input action=drop in-interface=ether2

8.Подключаем доступ из локальной сети в интернет:

add chain=forward action=accept in-interface=!ether2 out-interface=ether2

9.На всякий случай отсоединяем доступ ко всем остальным подключениям, но это не обязательно:

add chain=forward action=drop

Итак, теперь осталось только настроить NAT, по умолчанию он должен быть включён.

Всего два правило NAT, которые обеспечат удобную работу с торрентом и сбалансируют локальную сеть:

add chain=srcnat action=masquerade out-interface=ether2

add chain=dstnat action=dst-nat to-addresses=192.168.1.50 to-ports=45000 protocol=tcp in-interface=ether2 dst-port=45000

По итогу в вкладках фильтра правил и NAT всё должно выглядеть соответственно скриншотам снизу:

Если же вы хотите узнать всё про Mikrotik, настройки firewall и NAT, можете ознакомиться с информацией, предоставленной на разных ресурсах, и уже исходя из усвоенного вы сможете самостоятельно настроить свой файрвол под себя.

Источник

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

  • Настроить 2 диапазонный роутер в режиме репитера
  • Настроила роутер но нет доступа к интернету
  • Настроил роутер но пишет без доступа к интернету
  • Настроил роутер но нет подключения к интернету
  • Настроил роутер а вай фай не работает