Налаштування Firewall в Mikrotik
Тут мені стало очевидно, що на Mikrotik треба налаштувати таки Firewall, щоб закритися від подібних з'єднань, які призводять до гальм в роботі роутера. В інтернеті багато інформації по налаштуванню fiewall в mikrotik, я не буду детально описувати цей процес. Прочитати детальніше про налаштування можна тут або тут. Я просто наведу свій набір правил для звичайного домашнього роутера. Це мінімальний набір правил фаєрвола, нічого зайвого і в той же час повний захист від непотрібних підключень.
Тут ether2 - зовнішній інтерфейс, 192.168.1.0/24 - моя локальна мережа, 45000 - порт торрента.
дозволяємо пінг
add chain = input action = accept protocol = icmp
add chain = forward action = accept protocol = icmp
Ось скріншот моїх правил firewall. В принципі, по ньому можна відтворити всі правила у себе на mikrotik:
Налаштування NAT в Mikrotik
add chain = srcnat action = masquerade out-interface = ether2
add chain = dstnat action = dstnat to-addresses = 192.168.1.50 to-ports = 45000 protocol = tcp in-interface = ether2 dst-port = 45000
На цьому все. Інтернет лага перестав. Варто відзначити, що я заборонив всі вхідні підключення, крім торрента. Тобто віддалено моїм mikrotik я управляти не зможу, все підключення закриті firewall. Мені це просто не потрібно. Якщо у вас є така потреба, то не забудьте дозволити вхідні підключення в firewall для winbox.
І ще важливе зауваження. Я не рекомендую налаштовувати fierwall в mikrotik, та й не тільки в мікротік віддалено. Я під час налаштування помилився і відключив собі доступ до пристрою. Довелося його ресета і налаштовувати заново. Благо це не довго, не зайняло багато часу. Але майте це на увазі. Краще перед налаштуванням зробити backup, якщо раптом ресета доведеться 🙂
Онлайн курси по Mikrotik
Якщо у вас є бажання навчитися працювати з роутерами мікротік і стати фахівцем в цій галузі, рекомендую пройти курси за програмою, заснованої на інформації з офіційного курсу MikroTik Certified Network Associate. Крім офіційної програми, в курсах будуть лабораторні роботи, в яких ви на практиці зможете перевірити і закріпити отримані знання. Всі подробиці на сайті Курси з інформаційних технологій. Вартість навчання досить демократична, хороша можливість отримати нові знання в актуальній на сьогоднішній день предметної області.
Я конкретно на мікротіке не перевіряв з вклюенним на повний блок фаєрволом пускати пінг. Але знаю, що в mikrotike фаєрвол реалізований на базі iptables, а там абсолютно точно пінг, так само як і весь інший трафік фільтруються окремими правилами. Їх можна як заборонити, так і відкрити. Підозрюю, що на мікротіке так само.
Заборони корисні, якщо в локальній мережі організації рулить мікротік.
Через проксі проц вантажиться сильно, якщо правил багато, і відгук до сайтів трохи загальмований
Мені здається тут треба бути розумніше. Всі ці махрові заборони всього і вся на шлюзі тягнуться з тих часів, коли інтернет був дорогий. Зараз все змінилося, інтернет за копійки у кожного в кишені. Щось блокувати не має сенсу.
Потрібні способи мотивації співробітників, а не заборони. Наприклад моя робота побудована на результаті. Я завжди працюю тільки на результат, а не на час. Відповідно, мене не треба ні змушувати ходити на роботу, ні стежити за тим, що я роблю, ні блокувати якісь речі. Треба саме так намагатися організовувати роботу співробітників.