Firewall в Mikrotik: разбираем, как обеспечивать безопасность сети
ฝัง
- เผยแพร่เมื่อ 23 ธ.ค. 2020
- Firewall дает огромные возможности по управлению сетевым трафиком, проходящим через Mikrotik. Вы, как администратор сети, должны суметь разделить все потоки трафика. дать каждому из них свои права, а весь лишний трафик - заблокировать.
Firewall в Mikrotik по большей части позаимствован из IPTables из Linux.
На вебинаре мы подробно разберем все вкладки меню IP-Firewall, назначения всех параметров и пунктов.
Презентация: mkrtk.ru/prfw
Тайм-код:
02:27 Вопросы вебинара
03:23 Firewall filter
07:06 Работа по принципу «Если-То»
23:54 Filter Actions
57:15 Firewall NAT
1:03:33 NAT Actions
1:14:59 Connection State
1:30:49 Connection Tracking
1:31:22 Простая настройка firewall
1:33:16 Сложная настройка firewall
1:33:46 Address List
1:35:03 Блокирование сайтов через адрес листы с добавлением доменного имени
1:45:06 NAT Helpers
1:46:51 Полезные ссылки
Консультации и помощь по MikroTik в нашем Telegram-канале: t.me/miktrain - วิทยาศาสตร์และเทคโนโลยี
Прекрасный вебинар! Вот такие видео действительно стОит снимать. Хочу поразбираться с настройкой Firewall вручную, чую, попал по адресу.
Если кому нужно. Начало в 15:15
Отличный вебинар! Все оч. доступно и подробно
Спасибо Роману за интересный стрим!!!
Спасибо огромное, шикарный материал и приятно слушать!!
Хочу выразить огромную благодарность за труд. Роман вы большой молодец! Очень познавательное видео с большим удовольствием посмотрел, подписался на канал и телеграмм!
Спасибо, очень информативно!
Легкое и непринужденное... На 2,5 часа! :)
Очень интересно, премного благодарен!
Спасибо, Друг!
Офигенный вебинар.
За что диз?
Увидело слово - "безопасность", зашли, а там ни слова про РАКЕТЫ и ОРУЖИЕ...вот и влепили ))
Дураков хватает!
Spasibo! Kruto!
Спасиб! заменил старый древний ящик сервер ISA MS на маленький Mikrotik! Все Супер!
Микротик и иса не одно и тоже
В чем практическая разница между Src. Address и In. Interface, а также между Dst. Address и Out. Interface?
Здравствуйте. Можете выложить список правил для icmp?
thanks
Спасибо за очень познавательный вебинар. Скажите, достаточно этой защиты для дома( пара ноутов, планшеты, смартфоны, NAS) или есть смысл поставить дополнительно (вместо) Firewall (pfsense, ipfire, opnsense)?
Для дома - выше крыши...
видео очень полезное и большое спасибо за вашу работу, но ... 2 часа 15 минут это, мне кажется, многовато.
Да можно и думаю нужно, применять меньше жаргона и научных терминов, и выражаться максимально проще, т.к уровень людей которые смотрят видео разный и мозги тоже у всех по разному работают.
Эти блок схемы только запутывают неискушенных.
Скажите пожалуйста чистый IPSec подпадает под "AllPPP" файрволе?
user-block нужно указывать явный ип адрес пользователя а что если у пользователя dhcp и через 1 мес. ип сменится ? каждый раз перебивать в правиле ип адрес пользователя?
При каком изменении пакетов, прошедших через MikroTik, их цепь прохождения перестает быть "forward" и разделяется на "input" и "output"?
Можете уточнить, а "connection state" применяется по принципу "и" или "или". Ну то-есть если я хочу разрешить пакеты только "esteblished" и только "related" должен ли я делать 2 отдельных правила или правило с галками на этих вариантах пропустит все сочетания с ними?
24:00 - личная пометка
Прошу прощения что не в тему, а на микротике можно настроить cisco any connect клиента?
Нельзя. Но можно OpenVPN
Если у нас в цепочке форвард первым правилом стоит accept для established/related, там и так все быстро пролетит. Для чего фасттречить?
Кто-нибудь в курсе как раздать определенный пул адресов в порт свича используя Option 82? Где это задавать в DHCP сервере?
Роман, добрый день! Благодарю за стрим! Подскажите, а в том конфиге firewall что вы привели точно не нужно правило: chain-forward; In. Interface-bridge1, action-accept. Так то у меня давно настроен марш, но смотрю не упоминаете, думаю как тогда будет работать - отключаю - перестаёт работать интернет (не сразу, видать когда timeout esteblished соединения выходит) Вот и думаю чего у меня не правильно и почему у вас без этого правила работает.🤔
Можете пожалуйста записать вебинар про настойку Wireguard в микротике
Он уже есть, но есть нюансы в итоговой сборке 7.1
В бридж только интерфейс листы
Добрый день. Каким правилом запретить доступ всем пользователям впн. доступ в локальную сеть. А то каждый может заходить на каждого. (при наличии ip и лог пасс.) Только так чтобы не уронить весь доступ в инет :) Посмотрел момент про allppp 1:43:09 Но что-то не понял как сделать то что я хочу
Сетевое окружение закрыть? Попробуйте закрыть порты 137, 138 - UDP, 139, 445 - ТСР.
что за приложение где топология сети отображается 1:58:20 ???
Чем эта конфигурация фаирвола лучше дефолтной?
Вот мне тоже интересно
Почему NAT не часть FIREWALL?
Нат такая же таблица как и фильтр, ро и мангл.
Оно и находится всё в одном месте)
Сломали роутер по ssh множественным подключением, пинги белого ip даже не успевали проходить. См. Ниже
Заблокировать Телеграм...Layer7 нам не подойдет. Шта??
Скините настройки Layer7, для блокировки телеграмовского MTProto?
Доброго времени суток. У вас опечатка в презентации. в начале. ActOIn написано, вместо Action. Если презентация вам понадобиться в дальнейшем лучше исправить. Спасибо за полезную информацию
th-cam.com/video/DblbWVBHdZE/w-d-xo.html предлагаю поржать с этого феерического обзорщика микротиков :)) фееричный товарищ. качественного выходца с mоbilе-rеviеw сразу видно.
18:02 /поплыл
Вопрос. Смогут ли взломать его например с белорусии а я с украины?
Ох эти хакеры из Белоруссии.
@@MikrotikTraining так смогут или нет?
А ты чегоее зая неё
Ночью сломали роутер, поставили Майнер, сняли фаер.,,,, утро удалось вернуть контроль над роутер ом, но удалённо перепрошить его нельзя, все добавленные пользователи и измененные пароли слетают после перезагрузки. На роутере стояла семёрка БЕТА, злоумышленники отткатили на 6. 45.
видимо я тупой! 2 с лишним часа воды. Никакой конкретики. А хочешь лучше узнать плати деньги. Это нормально я понимаю, но!
Минус почти всех видео на канале - их можно сделать в 3 раза короче если убрать "воду", в то же время, иной раз чего-то не хватает..
Для домашних пользователей видео не нужно а для сисадминов бесполезно.
Можно поподробнее, что вы имели ввиду?
@@No_NameQ У домашних пользователей сеть крохотная, а нормальный системный администратор в фирме не станет здесь видео смотреть чтобы настроить роутер, а плохого сразу будет видно.
@@mass-any_key-lite я так понимаю у вас сертификация от микротик?
@@mass-any_key-lite А где будет смотреть?
@@GTigerGтак на месте и будет смотреть, я именно про проблемы с сетью и безопасностью.