Os routers de Mikrotik son bastante populares e instalados en casas ou oficinas para moitos usuarios. A seguridade básica de traballar con estes equipos é unha devasa configurada correctamente. Inclúe un conxunto de parámetros e regras para protexer a rede de conexións e hacks estranxeiros.
Configure o firewall do roteador Mikrotik
O roteador configúrase usando un sistema operativo especial que lle permite usar a interface web ou un programa especial. Nestas dúas versións hai todo o que necesitas para editar o firewall, polo que non importa o que prefiras. Nós nos concentraremos na versión do navegador. Antes de comezar, ten que iniciar sesión:
- A través de calquera navegador cómodo vai a
192.168.88.1
. - Na ventá de inicio da interface web do enrutador, seleccione "Webfig".
- Verá un formulario de inicio de sesión. Introduza as liñas de inicio de sesión e contrasinal, que por defecto teñen os valores
administrador
.
Podes aprender máis sobre a configuración completa dos routers desta empresa no noso outro artigo na seguinte ligazón e procederemos directamente á configuración dos parámetros de protección.
Ler máis: Como configurar o roteador Mikrotik
Limpando a folla de regras e creando novas
Despois de iniciar sesión, verá o menú principal onde aparece un panel con todas as categorías á esquerda. Antes de engadir a súa propia configuración, cómpre facer o seguinte:
- Amplíe unha categoría "IP" e vai á sección "Firewall".
- Borrar todas as regras presentes premendo no botón correspondente. É necesario facelo para evitar novos conflitos ao crear a súa propia configuración.
- Se entrou no menú a través do navegador, pode ir á ventá para crear a configuración a través do botón "Engadir", no programa debes facer clic no plus vermello.
Agora, despois de engadir cada regra, terá que facer clic nos mesmos botóns de creación para volver expandir a ventá de edición. Vexamos máis de cerca todas as opcións básicas de seguridade.
Comprobe a conexión do dispositivo
Un roteador conectado a un ordenador é comprobado ás veces polo sistema operativo Windows para unha conexión activa. Este proceso tamén se pode iniciar manualmente, pero este recurso só estará dispoñible se hai unha regra no firewall que permite a comunicación co SO. Configúrase como segue:
- Faga clic en "Engadir" ou vermello máis para mostrar unha nova ventá. Aquí en liña "Cadea"que se traduce como "Rede" especificar "Entrada" - entrante. Isto axudará a determinar que o sistema está a acceder ao enrutador.
- No elemento "Protocolo" establecer o valor "icmp". Este tipo úsase para enviar mensaxes relacionadas con erros e outras situacións non estándar.
- Mova a unha sección ou guía "Acción"onde poñer "Aceptar"É dicir, tal edición permite facer ping a un dispositivo de Windows.
- Suba para aplicar cambios e completar a edición de regras.
Non obstante, todo o proceso de mensaxería e control de equipos a través do sistema operativo Windows non acaba aquí. O segundo elemento é a transferencia de datos. Polo tanto, cree un novo parámetro onde especifique "Cadea" - "Adiante"e configura o protocolo tal e como se fixo no paso anterior.
Non esqueza comprobar "Acción"para ser entregado alí "Aceptar".
Permitir conexións establecidas
Ás veces, outros dispositivos están conectados ao enrutador mediante Wi-Fi ou cables. Ademais, pódese usar un grupo doméstico ou corporativo. Neste caso, terá que permitir conexións establecidas para evitar problemas co acceso a Internet.
- Fai clic "Engadir". Especifique de novo o tipo de tipo de rede entrante. Baixa un pouco e comproba "Establecido" contrario "Estado de conexión"para indicar unha conexión establecida.
- Non esqueza comprobar "Acción"de xeito que o elemento que necesitemos está seleccionado alí, como nas configuracións das regras anteriores. Despois diso, pode gardar os cambios e continuar.
Noutra regra, poña "Adiante" preto "Cadea" e marca a mesma caixa. Tamén debe confirmar a acción seleccionando "Aceptar", só despois proceder máis adiante.
Permitir conexións conectadas
Hai que crear aproximadamente as mesmas regras para as conexións conectadas para que non haxa conflitos ao intentar autenticarse. Todo o proceso realízase literalmente en varias accións:
- Determine o valor da regra "Cadea" - "Entrada"caer e marcar "Relacionado" fronte á inscrición "Estado de conexión". Non te esquezas da sección "Acción"onde se activa todo o mesmo parámetro.
- Na segunda nova configuración, deixe o tipo de conexión igual, pero configure a rede "Adiante", tamén na sección de acción que precisa o elemento "Aceptar".
Asegúrate de gardar os teus cambios para que as regras sexan engadidas á lista.
Permite as conexións da rede local
Os usuarios da rede local só poderán conectarse cando estean establecidos nas regras do firewall. Para editar, primeiro debes saber onde está conectado o cable do proveedor (na maioría dos casos é ether1), así como o enderezo IP da túa rede. Lea máis sobre isto no noso outro material na ligazón seguinte.
Máis información: como descubrir a dirección IP do teu ordenador
A continuación hai que configurar só un parámetro. Isto faise do seguinte xeito:
- Na primeira liña, coloque "Entrada", logo vaia ao seguinte "Dirección Src." e escriba a dirección IP alí. "Interface" especificar "Ether1"Se o cable de entrada do provedor está conectado a el.
- Mova á pestana "Acción", para poñer o valor alí "Aceptar".
Salvo conexións erróneas
A creación desta regra axudaralle a evitar conexións erróneas. Hai unha determinación automática das conexións non válidas para determinados factores, despois do cal se restablecen e non se lles concederá acceso. Debe crear dous parámetros. Isto faise do seguinte xeito:
- Como nalgunhas regras anteriores, primeiro especifique "Entrada", logo cae e comproba "inválido" preto "Estado de conexión".
- Vaia a pestana ou sección "Acción" e axusta o valor "Solta"o que significa restablecer as conexións deste tipo.
- Na nova ventá, só cambia "Cadea" en "Adiante", configura o resto como antes, incluída a acción "Solta".
Tamén pode desactivar outros intentos de conexión de fontes externas. Isto faise configurando só unha regra. Despois "Cadea" - "Entrada" Deixar "Interface" - "Ether1" e "Acción" - "Solta".
Permitir que o tráfico pase de LAN a Internet
Traballar no sistema operativo RouterOS permítelle desenvolver unha variedade de configuracións de paso de tráfico. Non imos falar sobre isto, xa que para os usuarios comúns ese coñecemento non será útil. Considere só unha regra de cortalumes que permita o tráfico desde a rede local a Internet:
- Seleccione "Cadea" - "Adiante". Pregunta "Interface" e "Out. Interface" valores "Ether1"seguido dun signo de exclamación "Interface".
- Na sección "Acción" seleccionar acción "Aceptar".
Tamén pode prohibir outras conexións con só unha regra:
- Seleccione só a rede "Adiante"sen expoñer nada.
- En "Acción" asegúrese de que paga a pena "Solta".
Como resultado da configuración, debería obter algo parecido a este esquema de firewall, como na imaxe de abaixo.
Sobre isto, o noso artigo chega a unha conclusión lóxica. Gustaríame observar que non ten que aplicar todas as regras, xa que é posible que non sempre sexan necesarias, pero demostramos unha configuración básica que se adapta aos usuarios máis comúns. Agardamos que a información proporcionada sexa útil. Se tes algunha dúbida sobre este tema, pídelles nos comentarios.