MikroTik – Firewall einrichten (IPv4)

Nun ist es an der Zeit, unseren Router sicher zu machen.
Dies passiert mit Hilfe der Firewall.
In diesem Video werden wir die Firewall rudimentär einrichten, damit wir sicher online gehen können.
Dies sollte für den “normalen” Heimgebrauch auch ausreichen.
Wer mehr möchte, kann natürlich das Ganze noch etwas erweitern und eine Statefull-Firewall damit erstellen.
Dies erfordert aber viel zeitlichen Aufwand und viele Tests, damit alles sauber läuft.

Wenn du die Firewall-Regeln direkt in einem Rutsch per Kommandozeile eingeben möchtest, habe ich hier die passenden Beispiele für dich.
Doch ACHTUNG!
Du musst ggf. die Interface-Namen und IP-Adressen auf deine Bedürfnisse anpassen!

/ip firewall filter
add action=drop chain=input protocol=icmp in-interface=ether1 comment="WAN -> FW | Ping blockieren"
add action=accept chain=input connection-state=established,related comment="ALLG. | Aufgebaute Verbindungen erlauben"
add action=accept chain=input in-interface=bridge-lan comment="LAN -> FW | Zugriff zur Firewall"
add action=accept chain=input protocol=icmp in-interface=bridge-lan comment="LAN -> FW | Ping zur Firewall erlauben"
add action=accept chain=input protocol=icmp in-interface=bridge-dmz comment="LAN -> FW | Ping zur Firewall erlauben"
add action=accept chain=input dst-address=192.168.88.1 protocol=udp dst-port=53 comment="DMZ -> FW | DNS erlauben UDP"
add action=accept chain=input dst-address=192.168.88.1 protocol=tcp dst-port=53 comment="DMZ -> FW | DNS erlauben TCP"
add action=drop chain=input comment="ALLG. | Alles ohne Verbindungsstatus blockieren"
add action=accept chain=forward comment="ALLG. | Aufgebaute Verbindungen erlauben"
add action=accept chain=forward protocol=icmp dst-port=80,443 in-interface=bridge-lan out-interface=bridge-dmz comment="LAN -> DMZ | Ping erlauben"
add action=accept chain=forward protocol=tcp dst-port=80,443 in-interface=bridge-lan out-interface=bridge-dmz comment="LAN -> DMZ | Webserver"
add action=drop chain=forward src-address=192.168.88.0/24 dst-address=192.168.89.0/24 comment="LAN -> DMZ | Alles andere verwerfen"
add action=drop chain=forward src-address=192.168.89.0/24 dst-address=192.168.88.0/24 comment="DMZ -> LAN | Alles andere verwerfen"
add action=accept chain=forward in-interface=bridge-lan out-interface=ether1 comment="LAN -> WAN | Internetzugriff"
add action=accept chain=forward in-interface=bridge-dmz out-interface=ether1 comment="DMZ -> WAN | Internetzugriff"
add action=drop chain=forward comment="ALLG. | Alles adnere verwerfen"

Weitere Videos:

Alle Anleitungen zu MikroTik findest du HIER aufgelistet.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.


CAPTCHA-Bild
Bild neu laden

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.