MikroTik – Firewall

Nastavení, popis a pořadí propisovaných pravidel filter a NAT systémem ISPadmin do routerů typu MikroTik (ROS).

---

• Firewall / Filter Rules
  • Úvod
  • Nastavení a pořadí pravidel
  • Nastavení routeru (ISPadmin)
    • Varianty nastavení
• Firewall / NAT
  • Nastavení a pořadí pravidel
  • Nastavení služby internet (ISPadmin)

---

Firewall / Filter Rules

Úvod

Firewall se v minimální možné podobě zapíše do vybraného routeru, pokud je u něj možnost Aplikovat defaultní firewall aktivní. Součást základních pravidel FW jsou – úvodní a závěrečná defaultní pravidla + úvodní a závěrečná pravidla nastavená v záložkách konkrétního routeru (viz pořadí níže). Pokud se neaplikují i další propisovaná pravidla firewallu (Aplikovat pravidla firewallu lokálně) – def. rout. sítě apod. (tj. aktivní je pouze – Aplikovat defaultní firewall), tak je pravidlo (ispadmin_drop_forward) s action drop zakázáno (disabled).

Defaultní pravidla FW se zapisují v pořadí:

1. Defaultní úvodní pravidla (globální nastavení pro všechny routery MikroTik) – mikrotik_default_fw (Nastavení –> Syst. nastavení –> MikroTik)
2. Úvodní pravidla firewallu definovaná na routeru (pořadí propisovaných pravidel odpovídá formuláři)
3. Defaultní závěrečná pravidla (globální nastavení pro všechny routery MikroTik) – mikrotik_default_fw_last (Nastavení –> Syst. nastavení –> MikroTik)
4. Závěrečná pravidla firewallu definovaná na routeru (pořadí propisovaných pravidel odpovídá formuláři)

Pokud je u routeru aktivní možnost – Aplikovat pravidla firewallu lokálně včetně default pravidel a zároveň jsou definované nějaké routované sítě u tohoto routeru, tak se vytvoří address-list – ispadmin_DROP_NETWORKS a zapíší se pravidla pro routery, switche, AP, HW, Headendy, OLT atd., které mají adresy z nadefinovaných routovaných sítí na vybraném routeru.

Dále se vytvoří struktura bloků pravidel pro povolení komunikace klientů (jejich služeb internet) a to dle velikosti nadefinované masky v klíči mikrotik_mangle_net_block (Nastavení –> Syst. nastavení –> MikroTik).

Nakonec dle klíče modemip_fw_use (Nastavení –> Syst. nastavení –> Obecné) se povolí IP koncových zařízení klientů a IP zařízení (router, switch, ap) z klientských rozsahů (routované sítě). Omezení (src-address, dst-addresss, src-address i dst-address nebo nepoužívat FW) je možné nastavit klíčem mikrotik_fw_drop (Nastavení –> Syst. nastavení –> MikroTik).

Nastavení a pořadí pravidel

Popis všech dostupných pravidel, které je možné do Firewallu zařízení MikroTik (IP / Firewall / Filter Rules) ze systému ISPadmin propsat.

– pravidlo povolení komunikace (action=accept, chain = input) – IP adresa serveru se systémem ISPadmin. Nastavení klíčem server_ip v (Nastavení –> Syst. nastavení –> Obecné). Zde musí být uvedena IP adresa serveru (veřejná nebo privátní), která je dostupná ze všech routerů typu MikroTik, které mají být spravovány.

– místo pro vlastní pravidla zadaná přímo ve FW (IP / Firewall / Filter Rules) konkrétního zařízení MikroTik správcem/administrátorem. V komentáři nesmí být použit řetězec – ispadmin, jinak bude pravidlo automaticky systémem při updatu/obnovení konfigurace smazáno.

– výchozí úvodní pravidla pro všechny routery MikroTik v systému (chain = ispadmin_first_forward). Nastavení klíčem mikrotik_default_fw (Nastavení –> Syst. nastavení –> MikroTik).

Příklad:

 /ip firewall filter add chain=forward protocol=udp dst-port=135-139 action=drop comment="vychozi_mikrotik_default_fw" disabled=no 

Zkráceně:

chain=forward protocol=udp dst-port=135-139 action=drop comment="vychozi_mikrotik_default_fw" disabled=no

– nadefinovaný úvodní FW konkrétního routeru MikroTik (chain = ispadmin_first_forward). Nastavení v editaci konkrétního routeru MikroTik v záložce – Firewall, sekce Úvodní FW – na routeru. Zapisují se v pořadí, v jakém jsou zadané ve formuláři. Navazuje na výchozí defaultní úvodní pravidla z bodu 3.

– omezení SSH (action=accept, jump, chain=forward) – pokud je toto nastavení zapnuté klíčem ssh_restriction (Nastavení –> Syst. nastavení –> Obecné), tak se blokuje přístup přes port 22. S tímto pravidlem souvisí i nastavení klíče ssh_trust_servers (Nastavení –> Syst. nastavení –> Obecné) bod 9.
ispadminGlobalIpList (action = accept) – address list s rozsahy rout. sítí a IP adresy zařízení zaevidovaných v systému, ze kterých je přístup na port 22 povolen (zvenku a mimo address list je ostatním zakázáno). V konkrétní službě internet klienta existuje možnost – Povolit SSH.

– omezení SMTP (action=jump, chain=forward) – pokud je toto nastavení zapnuté klíčem smtp_restriction (Nastavení –> Syst. nastavení –> Obecné), tak je komunikace na portu 25 povolena pouze na povolené servery z klíče smtp_trust_servers (Nastavení –> Syst. nastavení –> Obecné) bod 10. V konkrétní službě internet klienta existuje možnost – Povolit SMTP.

– výchozí závěrečná pravidla pro všechny routery MikroTik v systému (chain = ispadmin_last_forward). Nastavení klíčem mikrotik_default_fw_last (Nastavení –> Syst. nastavení –> MikroTik).

– nadefinovaný závěrečný FW konkrétního routeru MikroTik (chain = ispadmin_last_forward). Nastavení v editaci konkrétního routeru MikroTik v záložce – Firewall, sekce Závěrečný FW – na routeru. Zapisují se v pořadí, v jakém jsou zadané ve formuláři. Navazuje na výchozí defaultní závěrečná pravidla z bodu 7.

– povolené SSH servery v síti (chain ispadmin_service_forward). Povolené IP adresy serverů z klíče ssh_trust_servers (Nastavení –> Syst. nastavení –> Obecné). comment=ispadmin_SSH_trust_server

– povolené SMTP servery v síti (chain ispadmin_service_forward). Povolené IP adresy serverů z klíče smtp_trust_servers (Nastavení –> Syst. nastavení –> Obecné). comment=ispadmin_SMTP_trust_server

– pravidla na IP adresy z klientských rozsahů použíté pro routery, zařízení připojené k routeru, switche, headendy a AP. IP adresy z routovaných sítí nastavených u routeru (Hardware –> Routery –> Všechny) Nastavení –> Routované sítě. Nastavené IP aliasy u routeru (Hardware –> Routery –> Všechny) v menu u routeru Nastavení –> IP aliasy.

Aby se pravidla firewallu aplikovala i na tyto adresy zařízení je potřeba zapnout klíč modemip_fw_use (Nastavení –> Syst. nastavení –> Obecné). Rozsahy těchto zařízení se zároveň zapíšou do address-listu – ispadmin_DROP_NETWORKS.

Pokud se má použít MAC filtr (Src. MAC Address), v pravidlech firewallu pro zařízení připojené k routeru a switche, je potřeba zapnout klíč mikrotik_device_mac_firewall (Nastavení –> Syst. nastavení –> MikroTik).

Pravidla a funkci těchto pravidel firewallu ovlivňuje i nastavení klíče mikrotik_fw_drop (Nastavení –> Syst. nastavení –> MikroTik). Tj. omezení SRC i DST, pouze SRC, pouze DST nebo nepoužívat firewall.

– pravidla pro IP adresy v address listu – services_mac_ip přidané na základě zaevidované servisní MAC adresy (Nastavení –> Administrátoři –> Servisní MAC) přes Mangle pravidlo (MikroTik: Firewall / Mangle) (action=add src to address list, chain=ispadmin_first_forward)

– pravidla pro IP adresy služeb klientů z rozsahů routovaných sítí nastavených u routeru (Hardware –> Routery –> Všechny) Nastavení / Routované sítě.

Pravidla a funkci těchto pravidel firewallu ovlivňuje nastavení klíče mikrotik_fw_drop (Nastavení –> Syst. nastavení –> MikroTik). Tj. omezení SRC i DST, pouze SRC, pouze DST nebo nepoužívat firewall.

– pravidla pro IP adresy koncových zařízení klientů. IP adresy z routovaných sítí nastavených u routeru (Hardware –> Routery –> Všechny) Nastavení –> Routované sítě.

Z routovaných sítí nastavených přímo u služby internet.

Další IP adresy nastavené u služby internet.

Aby se pravidla firewallu aplikovala i na tyto adresy zařízení je potřeba zapnout klíč modemip_fw_use (Nastavení –> Syst. nastavení –> Obecné).

Pravidla a funkci těchto pravidel firewallu ovlivňuje nastavení klíče mikrotik_fw_drop (Nastavení –> Syst. nastavení –> MikroTik). Tj. omezení SRC i DST, pouze SRC, pouze DST nebo nepoužívat firewall.

Nastavení routeru (ISPadmin)

Přímo u routeru existuje několik možností nastavení, které ovlivňují funkční podobu propsaného firewallu.

• Aplikovat pravidla firewallu – pokud je tato možnost aktivní je možné vybrat další upřesňující nastavení
  • Lokálně – včetně default pravidel – pravidla se budou zapisovat na tento router včetně defaultních pravidel
  • Na konkrétním jiném vybraném routeru – pravidla FW se budou zapisovat na vybraný router (tj. jinam)
• Aplikovat defaultní firewall – tato možnost je k dispozici pokud je vybrán v možnosti Aplikovat pravidla firewallu jiný router (zda-li se má na tomto editovaném aplikovat alespoň defaultní firewall – dle nastavení).
  Pokud je zapnuto pouze samostatně, tak je pravidlo pro drop chainu ispadmin_drop_forward nastaveno jako disable. Propsané jsou defaultní pravidla z nastavení (mikrotik_default_fw, mikrotik_default_fw_last).
• Neaplikovat lokálně MANGLE, FILTER a NAT pravidla – žádná pravidla se na editovaném routeru neaplikují (filter prázdný – zůstávají pouze vlastní/ručně zadaná pravidla – bez prefixu ispadmin_)

• MAC filter – zapnutím dojde k přidání Src. MAC Address k IP Src. Address pravidla pro službu klienta z ISPA. Přidává se k pravidlům dle nastavení zařízení pro aplikování pravidel firewallu (viz výše).
• Používat wireless MAC filter – zapnutím dojde k přidání pravidel do zařízení MikroTik (Wireless / Access List) ze zařízení připojeného k routeru, služeb klientů a servisní MAC.
  S tímto nastavením souvisí i nastavení klíče mikrotik_limit_on_wifi (Nastavení –> Syst. nastavení –> MikroTik).

Varianty nastavení

• Aplikovat pravidla FW jinde – na editovaném routeru zůstávají ve Filter pouze vlastní (ručně nadefinovaná pravidla mimo definovaná v systému).

• Aplikovat defaultní firewall – na editovaném routeru se aplikují pouze defaultní pravidla (dle nastavení systému a u routeru).

• Aplikovat pravidla FW včetně default pravidel – na editovaném routeru se aplikují FW pravidla (dle def. routovaných sítí, služeb apod.) včetně defaultních pravidel (dle nastavení systému a u routeru).

• Aplikovat pravidla FW jinde, aplikovat defaultní firewall – na editovaném routeru se aplikují pouze defaultní pravidla (dle nastavení systému a u routeru) a pravidla FW (dle def. routovaných sítí, služeb apod.) se aplikují jinde (na nastaveném).

• Aplikovat pravidla FW jinde, lokálně neaplikovat FW, MANGLE, NAT pravidla – na editovaném routeru zůstávají ve Filter pouze vlastní (ručně nadefinovaná pravidla mimo systém), NAT a MANGLE pravidla se nepropisují. Pravidla FW (dle def. routovaných sítí, služeb apod.) se aplikují jinde (na nastaveném).

• Nepovolená kombinace – možnosti aplikovat defaultní FW a neaplikování pravidel se vzájemně vylučuje a proto není tato kombinace nastavení dovolena.

Firewall / NAT

Firewall NAT zpracovává a zapisuje pravidla pro zakázané klienty a naopak povolené web. stránky. Zároveň je možné definovat výchozí globální NAT pravidla pro všechny routery evidované v systému ISPadmin nebo nastavením konkrétních pravidel individuálně na jednotlivých routerech (MikroTik).

Zapnutím klíče mikrotik_nat_disable_users (Nastavení –> Syst. nastavení –> MikroTik) se zapíšou pravidla (nebo naplní address-list) na povolené stránky pro pozastavené klienty (Nastavení –> Info page –> Povolené stránky) a také pravidla pro přesměrování pozastavených klientů na informační stránky(http).

Nastavení a pořadí pravidel

– může být umístěno vlastní definované pravidlo přímo v sekci NAT konkrétního routeru. Zůstávají vždy nahoře (po updatu konfigurace).

– pravidlo pro zamezení přístupu k internetu pro pozastavené služby klientů (action = dst-nat, chain = ispadmin_first_dstnat). Přesměrování na informační stránku (To Addresses = [IP ISPA], To Ports = 8100). Závisí na nastavení klíče mikrotik_nat_disable_users (Nastavení –> Syst. nastavení –> MikroTik).

– pokud se na routeru provádí NAT – pravidlo pro překlad nastavených veřejných IP klientů (action = netmap, chain = ispadmin_first_dstnat). NAT IP ve službě internet.

– výchozí úvodní NAT pravidla pro všechny routery MikroTik v systému (chain = ispadmin_first_dstnat). Nastavení klíčem mikrotik_fw_nat_default_first (Nastavení –> Syst. nastavení –> MikroTik).

– nadefinovaná úvodní NAT pravidla konkrétního routeru MikroTik (action = dst-nat, chain = ispadmin_first_dstnat). Nastavení v editaci konkrétního routeru MikroTik v záložce – Firewall, sekce Úvodní FW NAT – na routeru. Zapisují se v pořadí, v jakém jsou zadané ve formuláři.

– přednastavená základní pravidla při pozastavení služeb internet (action = jump, Jump-Target = ispadmin_service_dstnat) a povolení přístupu na nastavené povolené stránky (Info page) – (Nastavení –> Info page –> Povolené stránky). Závisí na nastavení klíče mikrotik_nat_disable_users (Nastavení –> Syst. nastavení –> MikroTik).

– výchozí závěrečná NAT pravidla pro všechny routery MikroTik v systému (chain = ispadmin_last_dstnat). Nastavení klíčem mikrotik_fw_nat_default_last (Nastavení –> Syst. nastavení –> MikroTik).

– pokud se na routeru provádí NAT – pravidlo pro překlad nastavených veřejných IP klientů (action = netmap, chain = ispadmin_first_srcnat).

– nadefinovaná závěrečná NAT pravidla konkrétního routeru MikroTik (action = dst-nat, chain = ispadmin_last_dstnat). Nastavení v editaci konkrétního routeru MikroTik v záložce – Firewall, sekce Závěrečný FW NAT – na routeru. Zapisují se v pořadí, v jakém jsou zadané ve formuláři.

– pravidla (action = accept, chain= ispadmin_service_dstnat) pro povolené stránky (Nastavení –> Info page –> Povolené stránky). Existence pravidel je podmíněná nastavením klíče mikrotik_nat_disable_users (Nastavení –> Syst. nastavení –> MikroTik).

– pravidla pozastavených klientů. Přesměrování na informační stránky (dle portu). Jednotlivé IP nebo Address List dle nastavení klíče mikrotik_nat_disable_users (Nastavení –> Syst. nastavení –> MikroTik).

Nastavení služby internet (ISPadmin)

Aby bylo propisování pravidel pro IP adresy (NAT) do routeru (MikroTik) aktivní (action=netmap), tak je nutné mít zapnutý klíč mikrotik_nat_for_end_user (Nastavení –> Syst. nastavení –> MikroTik). Pokud je tento klíč vypnutý, tak se NAT pravidla, ze služeb internet, do routeru typu MikroTiku nepropisují.

Pro předdefinování rozsahů veřejných IP adres, které se používají pro NAT klientů slouží záložka (Nastavení –> IP pools –> IP pool NAT).

Při přidání/editaci služby Internet v kartě klienta je možné, zaškrtnutím možnosti NAT klienta, vybrat IP adresu z předdefinovaného rozsahu v NAT pools (adresa na kterou se provádí NAT). Následně se automaticky (pokud je propisování NAT povoleno) provede zápis NAT pravidel (action=netmap) pro privátní a veřejnou IP adresu služby klienta na odpovídajícím routeru.

UPOZORNĚNÍ
Pokud je propisování pravidel do zařízení MikroTik zapnuté, tak se NAT pravidla (action=netmap) propisují na routeru, kde je IP pool NAT nadefinován. Tj. nemusí to být router vybraný u služby internet. Konkrétní router, na kterém se NAT provádí, je u nabízené IP adresy z IP pool NAT, v editačním formuláři služby klienta, zobrazen v závorce.

Pokud je propisování NAT pravidel povoleno (viz nastavení klíče výše), tak se do routeru (kde se provádí NAT) propíše pro každou službu klienta, s tímto nastavením, dstnat a srcnat pravidlo.

/ip firewall nat add action=netmap chain=ispadmin_first_dstnat comment=ispadmin_NAT_5.4.3.2_10.0.33.200 dst-address=5.4.3.2 to-addresses=10.0.33.200

/ip firewall nat add action=netmap chain=ispadmin_last_srcnat comment=ispadmin_NAT_10.0.33.200_5.4.3.2 to-addresses=5.4.3.2 src-address=10.0.33.200