Детальный разбор Firewall и NAT в MikroTik
Вставка
- Опубліковано 12 чер 2024
- В этом видео мы детально разберем основные и дополнительные правила Firewall и NAT в MikroTik, которые дадут нам безопасность и ускорят обработку пакетов.
00:00 Вступление
00:25 NAT Masquerade
13:06 Защита от атак
13:14 DNS
16:50 Ограничить доступ к WinBox по IP
24:00 Отключаем лишние службы
25:56 Отключаем BTest Server
26:38 Отключаем IPv6
28:34 Ограничить доступ к WinBox по MAC
31:15 Проброс портов
37:11 FastTrack Connection
41:10 Заключение
Здравствуйте, отличный материал и подача тоже отличная, спасибо!
Одно не раскрыто, Firewall с IPV6... если бы его настройки ещё бы дали, а не просто выключить, то было бы супер, так как например у меня провайдер даёт ipv6 и он нормально работает.
Лучшее объяснения, что можно только встретить в инете.
Спасибо тебе большое! Единственные нормальные видео по настройке на Юутбе!
Отличное видео, я поставил себе домой для организации различных потребностей, обход блокировок и так далее... Спасибо, очень помогло начинающему разобраться в базовых понятиях.
Автору:
Спасибо нашел много полезного в этом видео, не смотря на то что уже давно работаю с микротиком.
Читателям комментариев:
Не вижу смысла использовать микротик если включать Fasttrack. Он меняет схему прохождения трафика после connection tracker сразу в output interface. получается многие правила не будут работать такие как маркировка трафика или QoS и др. подробнее смотрите схему прохождение трафика в router os.
Супер объяснение!!!! СПАСИБО.
Интересно. Все доходчиво!
Продолжай в том же духе!!!
Спасибо. Все очень понятно!
семен, плес
Отличный видос, продолжай!
семен, плес
Вот бы еще такой хороший объяснятор как вы поделился знаниями как правильно wifi2 на hAP3 и RouterOS 7 настраивать. Так же в этом разрезе было бы интересно как можно прикрутить к вышеуказанному роутеру древнюю cAP lite в режиме CAPsMAN, чтоб бесшовным был. Спасибо за просвещение!
Есть офис. Инет по статическому ip. Настраиваю l2tp чтобы сотрудники могли подключиться из дома и работать. У меня в офисе 2 сети. Без интернета и с интернетом. Microtik по lan врублен в сеть без инета. Так как большинство программ на компах без интернета. Проблема в том что если на инет компе настроить в офисе, то он подключается. А если из дома, то не подключается, правила вроде верные. Где копать? А ещё есть ситуация, всё коннектится, но не пингуется и соответственно при подключении rdp не видит комп.
А чем хуже ограничение доступа к Winbox (и другим сервисам) из IP-Services? Там же есть параметр AvailableFrom, в который прописываются доверенные адреса.
Спасибо за видео. Но в правилах проброса портов лучше Dst. Address не указывать, а указать in.Interface - в вашем случае ether1, т.к. айпишник от провайдера динамический и при смене его - правило работать не будет.
Молодец ! Классно обьясняеш, не то что некоторые !
семен, плес
Первый раз настраиваю микротик. Хотел поинтересоваться, - А не лучше закрыть все из вне и потом открывать только, то что требуется? К примеру 80, 443 порты и прочее.
Досмотрел видео дальше и понял в чем я ошибся.
Здравствуйте,подскажите пжлста,у меня mikrotik rbm11g и модем em160r-gl,все настроено как надо вроде,но при включении питания, lte автоматически не включается,приходится вручную заходить в винбокс,в lte и нажать выключить и опять включить и потом заработает,жить можно,но напрягает что не автоматом все делается...что может быть или где то надо что то включить в настройках???
поищи информацию, как писать скрипты на микротике в автозагрузку. Это, вероятнее всего, решит твою проблему)
Лично я бы начал с запрета все, кроме. А потом уже открывал интернет в локалку.
круто и спс за труд но есть пара вопросов))) зачем в маскарадинге выбирать подсеть внутнеюю обычно и так все робэ))разве только что если не мавскардить а дст натить))разыне подсети0))2е - в сервисах есть колонка алловед адерс - если туда прописать оно тоже ИПы только те пускать будет? а то пишут что до одного места)))
для безопасности лучше указывать внутреннюю сетку в правиле маскарада. приведу пример: есть сеть провайдера, в которой соседние абоненты могут напрямую общаться друг с другом, то есть по L2. если какой-то соседний абонент укажет IP-адрес (WAN) Вашего микротика в качестве шлюза по умолчанию, он сможет воспользоваться Вашим интернетом, потому что Ваше правило маскарада на микротике будет натить всё подряд, включая пакеты соседнего абонента.
Красава, все круто обьясняешь, так держать. Очень редко встретитшь когда так разжовывают, спасибо большое
отличное видео! просьба - сделайте еще видос как настроить микротик на двух провайдеров интернета (когда оба кабеля идут в роутер) и чтоб микротик мог между ними автоматически переключаться, в случае отключения одного из провайдеров.
спасибо! да, такое в планах тоже есть. обязательно сделаю!
Поддерживаю вопрос
@@loskiq Ну, тогда уж дополню: с балансировкой нагрузки при работе сразу от двух провов.)
Давай больше видосов про микрот. За 2 последних дня как подписался на тебя - смотрю прибавилось еще человек 100. Делай больше про микрот. У тебя отлично получается!
семен, плес
Если выполнена настройка CapsMan, то эти настройки уберегут от внешнего проникновения на точки микротик, расположенные после роутера? Или на них так же всю эту процедуру повторять? Спасибо.
если CAPsMAN настроен внутри Вашей локальной сети на локальных интерфейсах, да, уберегут
В некоторых статьях по настройке Wireguard видел, что fasttrack connection в обязательном порядке надо отрубить, иначе будут проблемы с WG из-за этого. Подскажите, пожалуйста, так ли это и с чем именно это может быть связано?
нет, к счастью это не так. на всех администрируемых мной mikrotik'ах, где настроен wireguard, включен fasttrack connection. никаких проблем не наблюдается. такая схема работает уже второй год.
34:59 А почему Вы не указываете значения для In. Interface и Out. Interface?
если указан dst address, можно не указывать in interface, так как все равно понятно куда попадает пакет перед NAT'тированием. да, конечно можно указать еще и in interface, но ничего не изменится, правило в любом случае будет отрабатывать корректно.
при включении fasttrack у вас не будут работать qos
да, не будет, но большинство не парятся с настройкой qos, тем более, если это обычный домашний роутер
Классно! Спасибо огромное! А как поступать с пробросом портов если у провайдера меняется IP?
либо покупать у провайдера статический ip (я плачу Ростелекому +150р к тарифу не дорого) . или изучите ddns
Про таблицу Connections не очень понял. Разве пакеты не по установленным маршрутам всегда бегают? Т.е. пакет по идее всегда именно к таблице маршрутизации должен обращаться, разве нет?
все верно, пакеты бегают, исходя из таблицы маршрутизации, а затем, когда установилось какое-либо подключение с каким-либо ip-адресом в интернете, добавляется запись в таблицу connections и устанавливается состояние этого соединения. эта таблица нужна для корректной работы NAT, но она никак не связана с таблицей маршрутизации.
По аксесс листам немного вводит в заблуждение второй диапазон реальных IP. Логично к примеру открыть диапазон из внутренней сети, но если подключаться будет кто-то из вне, то скорее всего он будет подключаться с какого-нибудь реального IP и тут диапазон не уместен, будут отдельные IP адреса, а уместен только если роутер будет соединен по туннелю с другой подсетью.
А если нет пункта 20:43 Srс. Address List?
значит этот пункт будет во вкладке Advanced. в новых версиях RouterOS разработчики изменили порядок
@@loskiq спасибо!
Создаем правила в RAW 53 порт, протоколы UDP и TCP, но почему ты проверяешь работоспособность через ping ? это же icmp, он будет работать что бы ты там не написал в принципе
этим правилом я устанавливаю запрет пользоваться DNS-сервером микротика посторонним пользователям. а DNS работает только по двум протоколам: TCP и UDP.
18:55 не секюрно. От слова совсем. Пускать к настроке роутера из вне - плохая привычка. Как минимум, в тоннель ВПН. А вот к впн по белому списку.
Молодец! Хорошо объясняешь.. Пропадает талант преподавателя..
А где мой комментарий?
хм, не знаю. я ничего не удалял. что писали?
@@loskiq по поводу маршрутизации и ната. Если бы провайдер знал о сети клиентов то трафик мог ходить и рубиться трафик потому что серые адреса запрещены к маршрутизации на границе инета и провайдера. Либо трафик должен натиться или иметь реальные ip, либо будет прибит. Мне показалось было объснено немного не так как оно на самом деле работает
скорее всего youtube не пропустил. Хотя не понимаю из-за чего. Вроде ничего не было из-за чего можно было бы не пропустить сообщение
да, согласен. провайдер конечно может натить локальную сеть роутера. то есть, наш роутер будет просто маршрутизировать весь трафик из локальной сети провайдеру, а он его уже будет натить. но, думаю, вряд ли кто из провайдеров такое предоставляет. либо да, как Вы написали, локальная сеть может состоять из реальных ip-адресов и тогда ничего натить не нужно.
кек, час рассказывать как поднять правило маскарада, и еше полторы правил домохозяйских. Не упомянув и 10% повседневных задач. Го в след раз видос на 12 часов, глядишь там и про маркировку упомянешь, правда, вскользь. Видос от хомяка для хомяков
А кто смотрит видео, при настройке Микротика?😂 Быстрее и эффективнее из статьи взять информацию. По тексту быстрее найдешь, что у тебя уже готово, а что надо исправить.
Видео может быть полезным в случае, если хочешь узнать как другие настраивают.
@@MGTOW_Element Автор (loskiq), алло, у тебя видео претендующее не на настройку быструю чего-либо, а о ДЕТАЛЬНОМ РАЗБОРЕ FIREWALL, а по факту ты однуо попсовую фичу ничего не дающую мусолишь час, не смеши и не оправдывайся. Ох у ж полезное узнал, о существовании маскарада и ната как технологии. ору
@@privaltv так зритель тоже должен думать. Видишь, что автор "плывет" в теме - смотри другого. Я лично так делаю. Даже если в обучающем видео рекламы написано, смотреть этого автора больше не стану.
И кто сказал, что я автор видео?🤔
Я настроил свои роутеры по статьям. По видео это сделать невозможно.
@@MGTOW_Element > Видишь, что автор "плывет" в теме - смотри другого.
Так и делаю, еще в коммент пишу, чтобы другие люди время экономили и не смотрели это блеяние.
>Даже если в обучающем видео рекламы написано, смотреть этого автора больше не стану.
Сложно понять что ты хотел сказать этим несвязным бредом.