Развитие и усложнение компьютерных сетей не только увеличило количество сервисов и удовольствий для потребителей, но и создало для них массу дополнительных проблем. Чем сложнее система, тем больше в ней щелей и открытых окон, в которые легко может пробраться злоумышленник. Разработанные для борьбы с вирусами антивирусные программы – это не единственный инструмент контроля сетевого трафика. Вторым таким инструментом является программа-firewall. В этой заметке мы станем рассматривать настройку firewall mikrotik. Настройка firewall mikrotik производится особенно просто и прозрачно для пользователя, поэтому его использование является предпочтительным.
Сегодня почти не осталось владельцев компьютеров, не установивших себе тот или иной антивирус. Мы рекомендуем не останавливаться на этом шаге и дополнительно установить firewall mikrotik. Он полностью обезопасит вас и вашу конфиденциальную информацию от вторжения посторонних. С его помощью вы сможете не только отлавливать известные вирусные программы, но и полностью контролировать содержание сетевого трафика. А значит вовремя отсечь все ненужное.
Установка firewall не только усиливает систему сетевой защиты, но и положительно сказывается на производительности компьютера, не позволяя некоторым программам грузить систему.
RouterOS и ее назначение
Сетевые операционные системы, рассматривающие произвольные сетевые ресурсы в качестве файлов собственной файловой системы, не являются чем-то новым для продвинутого пользователя или системного администратора. Традиции Plan 9 и ОС Inferno – живут и побеждают. Одной из таких систем является операционка RouterOS – разработка компании «MikroTik». Данная сетевая система разработана на основе Linux и может быть установлена как на роутер, так и на ПК – превращая его в роутер. Изначально RouterOS предназначалась для инсталляции на роутеры, для управления которыми она и разрабатывалась. Но сегодня ее сервисами (например, сервисом nat) может воспользоваться любой пользователь имеющий свободный ПК. Так что если вы являетесь счастливым обладателем роутера Mikrotik или старенького ПК – можете инсталлировать на него RouterOS, а на RouterOS – firewall mikrotik c nat и прочими прибамбасами. Этим самым вы обеспечите полную защиту домашней или офисной сети от вторжения.
Если таковым обладателем вы не являетесь, то данная информация может оказаться вам полезной для более осмысленного выбора роутера.
Принцип работы сетевого экрана
Для понимания принципов функционирования firewall mikrotik необходимо вникнуть в некоторые основополагающие концепции:
- Концепцию цепочки (chain). Все информационные потоки, проходящие через роутер, можно условно поделить на три категории входящие, исходящие и forward-цепочки (можете считать их мимо проходящими).
- Концепцию состояния коннекта. Коннекты классифицируются следующим образом: новые соединения, существующие соединения, связанные соединения и соединения неизвестного типа.
- Концепция условия. Условия – это логические фильтры для отсева пакетов данных пытающихся пройти через роутер. Некоторые из этих пакетов признаются ликвидными и обрабатываются дальше, другие же — нет.
Правильная настройка сетевого экрана mikrotik и nat заключается в выработке определенной стратегии поведения роутера. Наиболее логичной будет стратегия, которая:
- Контролирует входящий и проходящий трафик.
- Контролирует новые соединения (не реагируя на уже существующие) и не допускает открытия соединений неизвестного типа.
- Имеет правильную настройку фильтров для пакетов.
Алгоритм работы фильтров
Фильтры firewall mikrotik обрабатывают входные пакеты по следующей схеме:
- Пакет последовательно подвергается сравнению с условием каждого из фильтров. Как только будет достигнут фильтр, условию которого соответствует пакет, — обработка прекращается и пакет пропускается.
- Если, перебрав все фильтры, сетевой экран не обнаруживает такого соответствия, то дальнейшая судьба пакета зависит от базовой настройки экрана, допускающей две возможные стратегии: «разрешено все, что не запрещено» и «все, что не разрешено — запрещено». Первая стратегия называется стратегией открытого экрана, вторая – стратегией закрытого экрана. Закрытый экран производит отсев пакетов гораздо более тщательно. Но такая настройка далеко не всегда подойдет большинству пользователей.
Для настройки фильтров в составе программного обеспечения сетевого экрана имеется интерфейс «Firewall Rule». С ним можно ознакомиться на картинке ниже:
Для потока каждого из типов можно установить диапазон допустимых IP-адресов, допустимые порты и другие параметры пакетов потока. Перед некоторыми из полей можно установить значок восклицательного знака – это означает логическое отрицание условия.
Другие параметры фильтрации
Более точную настройку firewall mikrotik можно осуществить при помощи остальных вкладок того же самого окна.
- На вкладке «Advanced» сосредоточены дополнительные опции по управлению пакетами. Здесь можно настроить адресные списки источников отправления и назначения пакетов, допустимое содержимое пакета, размеры пакетов, параметры соединения (например, его скорость), MAC-адреса источников пакетов, различные флаги и другие интересные параметры.
- На вкладке «Extra» находится расширенный перечень опций фильтрации: максимум числа одновременных коннектов, максимум одновременно передаваемых пакетов с одного и того же адреса, время действия правила, параметры хотспота и другое.
- Вкладка «Action» содержит действия при срабатывании фильтра: пакет может быть пропущен далее, удален из очереди, адрес пакета может быть добавлен в т.н. «адресный список», где пробудет некоторое время, информация о пакете может быть занесена в журнал. Также имеется любопытная опция «Tarpit», позволяющая завесить хост-отправитель на коннекте с нулевой скоростью передачи данных.
Немного о трансляции сетевых адресов
Каждая из машин локальной сети имеет внутренний IP-адрес, действительный только в пределах данной сети и предназначенный для различения машин друг от друга. С точки зрения объемлющей сети, данная локальная сеть является единым объектом. Поэтому логично было бы сопоставить ей один единственный IP-адрес. Для этого и предназначена служба nat. Поддержка протокола nat позволяет решить еще одну проблему – проблему нехватки глобальных IP-адресов в Internet. Nat идеально подходит для этой цели. Nat является общепринятым стандартом Интернета и имеет две разновидности:
- Входящий nat – для пакетов, следующих внутрь локальной сети.
- Исходящий nat – для пакетов, следующих из локальной сети в глобальную.
В обоих случаях происходит трансляция адреса пакета таким образом, чтобы он смог быть интерпретируем получателем.
Firewall mikrotik поддерживает технологию nat и ее настройка в экране не представляет собой ничего особенно сложного.
На этом наш разговор о настройке firewall mikrotik можно считать законченным. Он носил общеознакомительный характер и не был направлен на разъяснение всех нюансов. С подробностями настройки nat mikrotik можно ознакомиться в фирменной документации.
