Firewall у MikroTik легко налаштувати так, що роутер стане або відкритим з інтернету, або недоступним навіть для інженера. Головне правило: порядок правил важливий.
Що захищає input chain
input — це трафік до самого роутера: Winbox, SSH, WebFig, DNS, ping, VPN-порт. Це не трафік клієнтів через роутер; для нього використовується forward.
Безпечний мінімум
/ip firewall filter
add chain=input action=accept connection-state=established,related comment="accept established/related"
add chain=input action=accept src-address=192.168.88.0/24 comment="trusted LAN management"
add chain=input action=accept protocol=icmp comment="allow ICMP diagnostics"
add chain=input action=drop connection-state=invalid comment="drop invalid"
add chain=input action=drop in-interface=ether1 comment="drop WAN access to router"Як зробити через Winbox
- Відкрийте IP → Firewall → Filter Rules.
- Створіть правила в тому ж порядку, що в прикладі.
- Для правила керування вкажіть тільки довірену LAN-підмережу або VPN-підмережу.
- Останнім правилом блокуйте доступ до роутера з WAN.
- Після застосування перевірте counters і логіку доступу.
Перевірка counters
/ip firewall filter print stats
/ip firewall connection print count-only
/log print where topics~"firewall"Як не втратити доступ
- Працюйте через Safe Mode.
- Перед final drop додайте allow для вашої LAN або VPN.
- Не відкривайте Winbox/SSH на весь інтернет.
- Якщо потрібен віддалений доступ, краще використовуйте WireGuard.
Поганий приклад
/ip firewall filter add chain=input action=drop comment="drop all"Таке правило без попередніх allow-правил може миттєво заблокувати доступ до роутера.
На обʼєктах SDS кожне firewall-правило повинно мати коментар. Через пів року інший інженер має зрозуміти, чому це правило існує.