MikroTik Firewall¶
Базова структура¶
MikroTik firewall складається з:
- Filter - фільтрація пакетів
- NAT - трансляція адрес
- Mangle - маркування пакетів
- Raw - обробка до conntrack
Базовий захист¶
Input Chain (вхідний трафік на роутер)¶
/ip firewall filter
# Дозволити established, related
add chain=input action=accept connection-state=established,related
# Дозволити ICMP
add chain=input action=accept protocol=icmp
# Дозволити SSH з довірених мереж
add chain=input action=accept protocol=tcp dst-port=22 \
src-address-list=trusted
# Дозволити WireGuard
add chain=input action=accept protocol=udp dst-port=51820
# Дропнути все інше
add chain=input action=drop
Forward Chain¶
# Дозволити established, related
add chain=forward action=accept connection-state=established,related
# Дозволити LAN -> WAN
add chain=forward action=accept in-interface=bridge-lan \
out-interface=ether1-wan
# Дропнути invalid
add chain=forward action=drop connection-state=invalid
# Дропнути все інше з WAN
add chain=forward action=drop in-interface=ether1-wan
Address Lists¶
/ip firewall address-list
add list=trusted address=10.0.0.0/8
add list=trusted address=192.168.0.0/16
add list=blacklist address=1.2.3.4 comment="scanner"
NAT¶
Masquerade¶
/ip firewall nat
add chain=srcnat out-interface=ether1-wan action=masquerade
Port Forwarding¶
add chain=dstnat protocol=tcp dst-port=443 \
action=dst-nat to-addresses=192.168.1.10 to-ports=443
Best Practices¶
- Завжди використовуйте connection-state
- Логуйте дропнуті пакети для діагностики
- Використовуйте address-list для управління
- Регулярно перевіряйте правила
Шлях: networking/mikrotik/firewall.md