La Fibre

Datacenter et équipements réseaux => Routeurs => MikroTik RouterOS => Discussion démarrée par: legnol le 07 mars 2024 à 10:17:35

Titre: Mikrotic firewall configuration par default suffisante ?
Posté par: legnol le 07 mars 2024 à 10:17:35

Bonjour tout le monde
je vais passer sur un router Mikrotik pour mon acces web , un hac2

j'ai préconfiguré tout cela en gardant les regles firewall de la conf par défaut .
A votre connaissance , sont elle suffisantes pour être tranquille ?
j'ai modifié le no de port ssh pendant mes configuration

les régles par défaut sont les suivantes :

    0  D ;;; special dummy rule to show fasttrack counters
         chain=forward action=passthrough
   
    1    ;;; defconf: accept established,related,untracked
         chain=input action=accept connection-state=established,related,untracked
   
    2    ;;; defconf: drop invalid
         chain=input action=drop connection-state=invalid
   
    3    ;;; defconf: accept ICMP
         chain=input action=accept protocol=icmp
   
    4    ;;; defconf: accept to local loopback (for CAPsMAN)
         chain=input action=accept dst-address=127.0.0.1
   
    5    ;;; defconf: drop all not coming from LAN
         chain=input action=drop in-interface-list=!LAN log=no log-prefix=""
   
    6    ;;; defconf: accept in ipsec policy
         chain=forward action=accept ipsec-policy=in,ipsec
   
    7    ;;; defconf: accept out ipsec policy
         chain=forward action=accept ipsec-policy=out,ipsec
   
    8    ;;; defconf: fasttrack
         chain=forward action=fasttrack-connection hw-offload=yes connection-state=established,related
   
    9    ;;; defconf: accept established,related, untracked
         chain=forward action=accept connection-state=established,related,untracked
   
   10    ;;; defconf: drop invalid
         chain=forward action=drop connection-state=invalid
   
   11    ;;; defconf: drop all from WAN not DSTNATed
         chain=forward action=drop connection-state=new connection-nat-state=!dstnat in-interface-list=WAN


si je comprends bien tout ça , la règle importante est que toutes les connections vers le routeur 'input'  sont bloquées si elles arrivent par le port WAN (ether1).
et que toute connection transitant par le routeur qui ne serait pas en Nat sont aussi drop .


y a t il des choses en plus à rajouter pour un usage standard, sans redirection de port ?


merci

Titre: Mikrotic firewall configuration par default suffisante ?
Posté par: Hugues le 07 mars 2024 à 10:50:34

Non, le firewall de base suffit

Titre: Mikrotic firewall configuration par default suffisante ?
Posté par: legnol le 07 mars 2024 à 13:39:47

ok , merci hugues