Mikrotik a základní nastavení

mikrotik

První kroky v administraci RouterOS s Mikrotik hAP ac²

Připojím ethernet kabel do portu č.2 a při prvním připojení přes webové rozhraní 192.168.88.1vytvořím nového uživatele s heslem pro správu routeru a odeberu admina.

/user add name=novýAdmin password=novýHeslo group=full
/user remove admin

– vypnu služby pro administraci routeru, nechám povolený pouze Winbox s povoleným přístupem z vnitřní sítě. (10.20.0.0/24 je pool z VPN)

/ip service disable telnet,ftp,www,api,api-ssl
/ip service set winbox disabled=no address=10.20.0.0/24,192.168.1.0/24 

– co nepoužívám to vypnu – zabezpečení routeru.

/ip proxy set enabled=no
/ip socks set enabled=no
/ip upnp set enabled=no
/ip cloud set ddns-enabled=no update-time=no
Nastavení času

– nastavení v System -> SNTP Client. Důležitý krok pro generování certifikátu VPN.
V otevřeném oknu zaškrtnu volbu Enabled a do položky Primary NTP server vyplním adresu: 217.31.202.100. NTP časový server CZ.NIC.

/system clock set time-zone-name=Europe/Prague
/system ntp client set enabled=yes  mode=unicast primary-ntp=217.31.202.100
DFS Mode

– některé wifi můžou dělat problémy s radary a proto je dobré mít zapnuté WiFI – radar detec (ne každý router to má)

ADBlock s DNS Static

– blokování reklam/sledování pomocí DNS Static – víc informací v samostatném příspěvku.

Nastavení OpenVPN

– vygenerovani certifikátu a nastavení mobilu – víc informací v samostatném příspěvku.

Firewall

– hlavně si dávat pozor na pořadí v pravidlech.

Blokování brutalforce login na FTP&SSH pokud tyto služby používám – https://wiki.mikrotik.com/wiki/Bruteforce_login

FTP
/ip firewall filter add chain=input protocol=tcp dst-port=21 src-address-list="Black List" action=drop comment="drop ftp brute forcers"
/ip firewall filter add chain=output action=accept protocol=tcp content="530 Login incorrect" dst-limit=1/1m,9,dst-address/1m
/ip firewall filter add chain=output action=add-dst-to-address-list protocol=tcp content="530 Login incorrect" address-list="Black List" address-list-timeout=3h

Blokování port scanhttps://wiki.mikrotik.com/wiki/Drop_port

/ip firewall filter 
add chain=input protocol=tcp psd=21,3s,3,1 action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w comment="Port scanners to list" disabled=no
add chain=input src-address-list="port scanners" action=drop comment="dropping port scanners"

Blokování DDoS – postup dle: www.block-ddos-attack-mikrotik

/ip firewall filter 
add chain=forward connection-state=new action=jump jump-target=detect-ddos
add chain=detect-ddos dst-limit=32,32,src-and-dst-addresses/10s action=return
add chain=detect-ddos action=add-dst-to-address-list address-list=ddosed address-list-timeout=10m
add chain=detect-ddos action=add-src-to-address-list address-list=ddoser address-list-timeout=10m
add chain=forward connection-state=new src-address-list=ddoser dst-address-list=ddosed action=drop

nebo

/ip firewall filter
add chain=input protocol=tcp connection-limit=LIMIT,32 action=add-src-to-address-list address-list="Black List"t address-list-timeout=1d 
add chain=input src-address-list="Black List" action=drop comment="dropping DDoS"

LIMIT - si nastav dle svého je to horní hranice možných připojení z jedné IP adresy (50)

Blokování TCP SYN útoku z internetu

/ip firewall filter
add action=jump chain=forward comment="SYN Flood protect FORWARD" connection-state=new jumptarget=syn-attack protocol=tcp tcp-flags=syn
add action=jump chain=input comment="SYN Flood protect INPUT" connection-state=new jumptarget=syn-attack protocol=tcp tcp-flags=syn
add action=accept chain=syn-attack connection-state=new limit=400,5:packet protocol=tcp tcp- flags=syn
add action=drop chain=syn-attack connection-state=new protocol=tcp tcp-flags=syn

/ip firewall raw 
add action=drop chain=input tcp-flags=syn protocol=tcp

/ip settings 
set tcp-syncookies=yes

Blokování DNS z internetu

/ip firewall filter 
add chain=input action=drop protocol=udp in-interface-list=WAN dst-port=53 log=no
add chain=input action=drop protocol=tcp in-interface-list=WAN dst-port=53 log=no

nebo

/ip firewall raw 
add action=drop chain=prerouting dst-port=53 in-interface-list=WAN protocol=udp

Přesměrování portů 80/443 na lokální web server – pokud mám v síti

/ip firewall nat 
add chain=dstnat in-interface-list=WAN protocol=tcp dst-port=443 action=dst-nat to-address=192.168.1.2 to-ports=443
add chain=dstnat in-interface-list=WAN protocol=tcp dst-port=80 action=dst-nat to-address=192.168.1.2 to-ports=80

Blokování bogon Address list

– přidání address-listu do firewallu – IP který budou blokovaný/povolený –  www.firewall-on-mikrotik

/ip firewall address-list
add address=0.0.0.0/8 list=not_in_internet
add address=172.16.0.0/12 list=not_in_internet
add address=192.168.0.0/16 list=not_in_internet
add address=169.254.0.0/16  list=not_in_internet
add address=127.0.0.0/8  list=not_in_internet
add address=224.0.0.0/4 list=not_in_internet
add address=198.18.0.0/15  list=not_in_internet
add address=192.0.0.0/24  list=not_in_internet
add address=192.0.2.0/24  list=not_in_internet
add address=198.51.100.0/24 list=not_in_internet
add address=203.0.113.0/24  list=not_in_internet
add address=100.64.0.0/10 list=not_in_internet
add address=240.0.0.0/4 list=not_in_internet
add address=192.88.99.0/24 list=not_in_internet

/ip firewall filter
add action=drop chain=forward comment="Drop not public addresses from LAN" dst-address-list=not_in_internet in-interface=ether1 log=yes log-prefix=!public_from_LAN out-interface=!ether1

– srcipt od Squidblacklist – Bagon Filtering | blacklist-fetch

/tool fetch address=www.squidblacklist.org host=www.squidblacklist.org mode=https src-path=/downloads/sbl-bogons.rsc ;

import sbl-bogons.rsc

/ip firewall filter add action=drop chain=forward src-address-list=”sbl bogons” log=no comment=”Squild Blacklist: SBL Bogons.”

Protect local network against attacks from public internet www.wiki.mikrotik.com

/ip firewall filter
 add action=drop chain=forward comment="Drop new connections from internet which are not dst-natted" connection-nat-state=!dstnat connection-state=new in-interface=WAN

Jeden komplet firewall – před aplikací zálohovat svůj firewall – ip firewall export file=Muj-fw-zaloha

/ip firewall filter
add action=drop chain=Attacks comment="Drop connections FROM Black List hosts" src-address-list=Black List
add action=drop chain=Attacks comment="Drop connections TO Black List hosts" dst-address-list=Black List
add action=drop chain=Attacks comment="Invalid packets (No valid current connection)" connection-state=invalid
add action=drop chain=Attacks comment="Invalid TCP flag combo" protocol=tcp tcp-flags=!fin,!syn,!rst,!ack
add action=drop chain=Attacks comment="Invalid TCP flag combo" protocol=tcp tcp-flags=fin,syn
add action=drop chain=Attacks comment="Invalid TCP flag combo" protocol=tcp tcp-flags=fin,rst
add action=drop chain=Attacks comment="Invalid TCP flag combo" protocol=tcp tcp-flags=fin,!ack
add action=drop chain=Attacks comment="Invalid TCP flag combo" protocol=tcp tcp-flags=fin,urg
add action=drop chain=Attacks comment="Invalid TCP flag combo" protocol=tcp tcp-flags=syn,rst
add action=drop chain=Attacks comment="Invalid TCP flag combo" protocol=tcp tcp-flags=rst,urg
add action=drop chain=Attacks comment="Invalid TCP source port (0)" protocol=tcp src-port=0
add action=drop chain=Attacks comment="Invalid TCP destination port (0)" dst-port=0 protocol=tcp
add action=drop chain=Attacks comment="Invalid UDP source port (0)" protocol=udp src-port=0
add action=drop chain=Attacks comment="Invalid UDP destination port (0)" dst-port=0 protocol=udp
add action=return chain=Attacks comment="Return to the chain that jumped"
add action=jump chain=input comment="Check for bad stuff in \"Attack\" chain" jump-target=Attacks
add chain=input comment="Allow current valid connections as well as valid related packets" connection-state=established,related
add chain=input comment="Allow any packets from our trusted \"IPSec\" partners" connection-state=new src-address-list=ipSec
add chain=input comment="Allow the Private IP ranges to access the router" connection-state=new src-address-list=PrivateIPs
add chain=input comment="Allow ICMP Response" icmp-options=8:0 protocol=icmp
add action=drop chain=input comment="Drop everything else by default"
add action=jump chain=forward comment="Check for bad stuff in \"Attack\" chain" jump-target=Attacks
add chain=forward comment="Allow current valid connections as well as valid related packets" connection-state=established,related
add chain=forward comment="Allow the Private IP ranges to be forwarded by the router" connection-state=new src-address-list=PrivateIPs
add action=drop chain=forward comment="Drop everything else on WAN" in-interface=wan


/ip firewall address-list
add address=10.0.0.0/8 list=PrivateIPs
add address=192.168.0.0/16 list=PrivateIPs

Blokování přístupu národní

www.pristup-na-router-mikrotik-pouze-pro-ceskou-republiku

zdroje: mum.mikrotik.com PDF | Dude | Mikrotik – Poznámkový blok | Obrázkový návod na Mikrotik | Nastavení routeru Mikrotik: podrobný manuál. | top-10-nejcastejsich-chyb