Анатомия Firewall MikroTik: Защита сети, Fast Track и «ошибка 99% устройств»

Анатомия Firewall MikroTik: Защита сети, Fast Track и «ошибка 99% устройств»

Приветствую, коллеги! Если коммутация и DHCP — это «кровеносная система» сети, то Firewall — это её «иммунитет». Но многие администраторы боятся лезть в настройки брандмауэра MikroTik, как огня. Причина проста: одно неверное правило, и ты «кирпичишь» роутер, теряя к нему доступ, и начинается «танцы с бубном» с кнопкой Reset.

Согласно Модулю 6 (Файрвол) нашего курса, грамотный Firewall — это не просто набор правил «запретить всё». Это понимание того, как трафик течет через цепочки (Chains), как работает Connection Tracker и почему твой «гениальный» фильтр может не срабатывать из-за Fast Track. Сегодня мы настроим защиту по уму, используя как CLI, так и новый WinBox 4.

📖 Словарь терминов и сленга (База для выживания)

• Chain (Цепочка) — «коридор» в таможне. Input — для трафика, адресованного самому роутеру. Forward — для трафика, летящего сквозь роутер к клиентам. Output — для исходящих от роутера пакетов.
• Connection Tracker (Conntrack) — «память» роутера. Он помнит, кто начал «разговор» (сессию). Если ты пустил первый пакет наружу, Conntrack запомнит это и автоматически пропустит ответный пакет обратно, даже если для него нет явного правила.
• Fast Track — «ускоритель». Он берет уже установленные соединения и пропускает их мимо тяжелых проверок Firewall и маршрутизации, чтобы разгрузить CPU. Но у него есть темная сторона...
• «Кирпич» (Кирпичнуть роутер) — сленг. Ситуация, когда админ ставит правило Drop All, забывая разрешить себе доступ, и теряет связь с устройством.
• «Дырявый забор» — Firewall, в котором правила идут в неправильном порядке, из-за чего «дыры» появляются там, где их быть не должно.

Теория: Схемы прохождения трафика (Анатомия)

Чтобы не «кирпичить» оборудование, нужно понять, куда летит пакет. В RouterOS есть три главные цепочки (Chains):

1. Input: Пакет пришел извне и его конечный IP — это сам роутер (например, ты зашел по SSH или роутер пингует Google DNS). Задача: защитить «мозги» роутера.
2. Forward: Пакет пришел из локальной сети и летит в интернет (или наоборот). Роутер тут просто «транзитный узел». Задача: защитить клиентов от внешних атак.
3. Output: Пакет родился внутри роутера и летит наружу. Обычно не трогаем, оставляем Accept.

Золотое правило: Firewall в MikroTik читается сверху вниз. Как только пакет совпал с правилом — он выполняет действие (Accept/Drop) и покидает цепочку. Дальше он правила не читает. Порядок правил — это 90% успеха.

🚀 БЛОК «С НУЛЯ ДО РЕЗУЛЬТАТА»: Практика в CLI и WinBox 4

Представим, что мы подключаемся к клиенту. У нас есть новый WinBox 4 (с современным интерфейсом и боковой панелью). Наша задача: защитить сеть, но не заблокировать самих себя.

Шаг 1. Магия Fast Track (Ускорение и скрытые угрозы)

Согласно программе курса, Fast Track — это мощнейший инструмент для разгрузки CPU. Но если вы начнете писать сложные правила фильтрации (например, блокировку сайтов по URL), Fast Track их проигнорирует, потому что ускоренный трафик идет в обход цепочки Filter.

В CLI:

# Разрешаем Fast Track для установленных соединений (ставим ПЕРВЫМ правилом!)
/ip firewall filter
add action=fasttrack-connection chain=forward connection-state=established,related comment="01_FastTrack"
add action=accept chain=forward connection-state=established,related comment="02_Accept_Established"

В WinBox 4:

1. Откройте WinBox 4. В левой боковой панели (Sidebar) найдите раздел IP и кликните на Firewall (или используйте «лупу» / поиск сверху и введите firewall).
2. Перейдите на вкладку Filter Rules.
3. Нажмите кнопку + (Add) в верхнем левом углу.
4. Вкладка General: Chain = forward.
5. Вкладка Action: Action = fasttrack-connection.
6. Вкладка Extra (или вкладка Connection): Connection State = established, related.
7. На вкладке General в поле Comment напишите 01_FastTrack и нажмите OK. Перетащите это правило в самый верх списка.

Шаг 2. Защита самого роутера (Цепочка Input)

Мы должны пустить «своих» и отсечь «чужаков», которые хотят подобрать пароль к SSH или WinBox.

В CLI:

# Разрешаем ответы на наши же запросы и локальную сеть
/ip firewall filter
add action=accept chain=input connection-state=established,related comment="10_Input_Established"
add action=accept chain=input in-interface=bridge-LAN comment="11_Input_LAN_Accept"

# А ТАК ЖЕ: Блокируем всё остальное, что идет в роутер извне (WAN)
add action=drop chain=input in-interface-list=WAN comment="99_Input_Drop_All"

В WinBox 4:

Алгоритм тот же: IP -> Firewall -> Filter Rules -> Add (+). Для правила блокировки: Chain = input, вкладка Advanced (или Interface) -> In. Interface List = WAN, вкладка Action -> Action = drop. Comment = 99_Input_Drop_All. Важно: это правило должно быть в самом низу списка!

Шаг 3. Защита пользователей (Цепочка Forward)

Разрешаем клиентам ходить в интернет, но запрещаем интернету стучаться к клиентам напрямую.

В CLI:

# Блокируем попытки из интернета обратиться к нашим локальным машинам
/ip firewall filter
add action=drop chain=forward connection-state=invalid comment="50_Drop_Invalid"
add action=drop chain=forward in-interface-list=WAN connection-nat-state=!dstnat comment="51_Drop_WAN_to_LAN"

# Разрешаем всё остальное (локалка в интернет)
add action=accept chain=forward comment="90_Forward_Accept_All"

Шаг 4. Source NAT и «Ошибка 99% устройств»

Согласно программе курса, есть ошибка, которая встречается на 99% любительских настроек: правила NAT без привязки к интерфейсу. Если у вас два провайдера (Failover) или VPN-туннели, правило masquerade «на все интерфейсы» заставит роутер подменять IP-адреса даже для локального трафика или туннелей, ломая маршрутизацию.

В CLI:

# ПРАВИЛЬНО: Указываем конкретный интерфейс или список интерфейсов
/ip firewall nat
add action=masquerade chain=srcnat out-interface-list=WAN comment="01_Masquerade_WAN"

В WinBox 4:

1. Перейдите в IP -> Firewall, но теперь выберите вкладку NAT.
2. Нажмите +. Chain = srcnat.
3. Вкладка Action: Action = masquerade.
4. Вкладка Extra (или Advanced): Out. Interface List = WAN (или выберите конкретный ether1).

⚠️ Типичные «грабли» (За что клиенты платят деньги)

1. «Кирпич» из-за забытого Established. Админ ставит Drop All в цепочке Input, но забывает первым правилом пустить connection-state=established,related. Итог: роутер перестает отвечать на уже открытые сессии, WinBox виснет. Решение: всегда начинайте цепочки с Accept Established/Related.
2. Fast Track ломает блокировки. Админ настроил блокировку торрентов или сайтов, но забыл, что правило fasttrack-connection стоит выше. Трафик «ускоряется» и игнорирует запреты. Решение: либо отключить Fast Track, либо добавить перед ним правила с действием accept для тех соединений, которые не нужно ускорять (чтобы они упали вниз по списку и попали под фильтрацию).
3. Порядок правил NAT. NAT тоже читается сверху вниз. Если у вас стоит dst-nat (проброс порта) для веб-сервера, а выше него висит «маскарад» или дроп, проброс не сработает. Решение: правила Destination NAT (пробросы) всегда должны быть САМЫМИ ПЕРВЫМИ в списке NAT.

Резюме для сетевых инженеров

Firewall в MikroTik — это не «черная магия», а строгая логика движения пакетов через цепочки Input, Forward и Output. Понимание того, как работает Connection Tracker и как Fast Track влияет на обработку трафика, отделяет «настройщиков» от настоящих инженеров. Используйте новый WinBox 4 для быстрого поиска правил через «лупу», не забывайте комментировать правила (Comment) и всегда держите под рукой консольный кабель, чтобы в случае «кирпича» быстро вернуть доступ.

Материал основан на программе курса «Администрирование сетевых устройств MikroTik» (Модуль 6: Файрвол). В следующей статье мы перейдем к Модулю 7: QoS (Ограничение и приоритизация трафика). Мы разберем, как «нарезать» канал так, чтобы IP-телефония не «икала» при скачивании торрентов, а директор получал свой законный гигабит. Подписывайтесь!