- Закрываем 53 порт
- Отключаем стандартные порты
- Закрываем любой порт
Закрываем 53 порт для доступа из вне
Итак, начнем с простого. Поскольку микротик имеет на борту свой собственный DNS сервер, то 53 порт смотрит у него наружу и просит его использовать. Чем грозит открытый 53 порт? Падением скорости вашего интернет-соединения. В моей практике был случай, когда в качестве роутера стоял Mikrotik RB951Ui. Провайдер давал 80 мегабит канал, а фактическая скорость у клиента не превышала 2-3 мегабита. Клиент ругался с провайдером, приезжали монтажники, проверяли линию, но все тщетно. Когда я приехал, то сделал следующее.
Подключаемся к нашему пациенту по Winbox и открываем раздел IP->Firewall->Filter Rules. На скриншоте ниже у меня уже добавлены необходимые правила для обработки трафика на 53 порту.
Что бы сделать так же, добавляем первое правило.
- Chain – input
- Protocol – 17(udp)
- Dst.port – 53
- In.interface – ваш интерфейс, куда включен шнурок провайдера. В моем случае это pppoe-соединение Ростелекома.
- Action – add src to address list
- Address List – DNS_FLOOD (название может быть любым)
И второе правило.
- Chain – input
- Protocol – 17(udp)
- Dst.port – 53
- In.Interface – ваш интерфейс, куда включен провайдер
- Action – drop
На этом все. Ваш микротик защищен от DNS флуда и канал теперь свободен. Добавив только эти два правила клиент увидел заявленную от провайдера скорость и был рад по самые помидоры. Но есть и другие сервисы и порты, которые в микротике по-умолчанию включены и принимают подключения.
Отключаем стандартные порты
Обычные пользователи не обращают на них внимания, но я рекомендую всем либо выключить к ним доступ, либо настроить правила фильтрации. Самое простое, как закрыть порты:
Заходим IP-Services и видим список портов. Я всегда закрываю все, кроме Winbox потому что мне нет в них необходимости. Можно просто выключить, а можно изменить номер порта на тот, который вам нравится, но стоит быть внимательными, не советую менять порты 443, 80. Это служебные порты и их изменение может привести к потере доступа в Интернет. У меня выглядит вот так:
Закрываем любой порт
Для того, что бы закрыть любой порт для подключения из внешней сети достаточно одного правила, которое по своей сути очень простое. В нем мы указываем тип трафика – снаружи, номер порта или диапазон портов, на каком интерфейсе слушать и что с этим трафиком делать. Для примера давайте закроем порт 8080.
IP->Firewall->Filter Rules->New Firewall rule (синий плюсик)
- Chain – input
- Protocol – tcp
- Dst.port – 8080
- In.Interface – ваш интерфейс
- Action – drop