ЗАКРЫВАЕМ ПОРТЫ НА MIKROTIK

Данная ветка видна всем.
Ответить
Аватара пользователя
poisonkit
Администратор
Сообщения: 163
Зарегистрирован: 27 июн 2022, 16:27

ЗАКРЫВАЕМ ПОРТЫ НА MIKROTIK

Сообщение poisonkit »

Содержание
  • Закрываем 53 порт
  • Отключаем стандартные порты
  • Закрываем любой порт
Смотрите более полную инструкцию о том, ... от взлома

Закрываем 53 порт для доступа из вне

Итак, начнем с простого. Поскольку микротик имеет на борту свой собственный DNS сервер, то 53 порт смотрит у него наружу и просит его использовать. Чем грозит открытый 53 порт? Падением скорости вашего интернет-соединения. В моей практике был случай, когда в качестве роутера стоял Mikrotik RB951Ui. Провайдер давал 80 мегабит канал, а фактическая скорость у клиента не превышала 2-3 мегабита. Клиент ругался с провайдером, приезжали монтажники, проверяли линию, но все тщетно. Когда я приехал, то сделал следующее.

Подключаемся к нашему пациенту по Winbox и открываем раздел IP->Firewall->Filter Rules. На скриншоте ниже у меня уже добавлены необходимые правила для обработки трафика на 53 порту.


Что бы сделать так же, добавляем первое правило.
  • Chain – input
  • Protocol – 17(udp)
  • Dst.port – 53
  • In.interface – ваш интерфейс, куда включен шнурок провайдера. В моем случае это pppoe-соединение Ростелекома.
  • Action – add src to address list
  • Address List – DNS_FLOOD (название может быть любым)




И второе правило.
  • Chain – input
  • Protocol – 17(udp)
  • Dst.port – 53
  • In.Interface – ваш интерфейс, куда включен провайдер
  • Action – drop




На этом все. Ваш микротик защищен от DNS флуда и канал теперь свободен. Добавив только эти два правила клиент увидел заявленную от провайдера скорость и был рад по самые помидоры. Но есть и другие сервисы и порты, которые в микротике по-умолчанию включены и принимают подключения.

Отключаем стандартные порты

Обычные пользователи не обращают на них внимания, но я рекомендую всем либо выключить к ним доступ, либо настроить правила фильтрации. Самое простое, как закрыть порты:

Заходим IP-Services и видим список портов. Я всегда закрываю все, кроме Winbox потому что мне нет в них необходимости. Можно просто выключить, а можно изменить номер порта на тот, который вам нравится, но стоит быть внимательными, не советую менять порты 443, 80. Это служебные порты и их изменение может привести к потере доступа в Интернет. У меня выглядит вот так:


Закрываем любой порт

Для того, что бы закрыть любой порт для подключения из внешней сети достаточно одного правила, которое по своей сути очень простое. В нем мы указываем тип трафика – снаружи, номер порта или диапазон портов, на каком интерфейсе слушать и что с этим трафиком делать. Для примера давайте закроем порт 8080.
IP->Firewall->Filter Rules->New Firewall rule (синий плюсик)
  • Chain – input
  • Protocol – tcp
  • Dst.port – 8080
  • In.Interface – ваш интерфейс
  • Action – drop
Все! Вот так просто! Порт закрыт. Но будьте предельно аккуратны, не стоит беспорядочно закрывать все. В mikrotike с завода идет принцип запрещено все, что не разрешено. Поэтому сильно заморачиваться нет необходимости.
Ответить