MikroTik RouterOS — гибкая и мощная платформа для управления сетью. Однако «из коробки» она не всегда защищена должным образом и может работать неэффективно под нагрузкой. В этой статье собрали проверенные практикой примеры скриптов и правил firewall, которые помогут усилить безопасность, оптимизировать производительность и автоматизировать рутинные задачи.
1. Защита от брутфорса (Winbox, SSH, FTP)
Чтобы заблокировать IP-адреса после нескольких неудачных попыток входа, используйте следующие правила в /ip firewall filter:
/ip firewall address-list
add list=blocked-ips address=0.0.0.0/32 comment="Placeholder"
/ip firewall filter
add chain=input protocol=tcp dst-port=22,21,8291 src-address-list=brute-force-attackers action=add-src-to-address-list address-list=blocked-ips address-list-timeout=1d
add chain=input protocol=tcp dst-port=22,21,8291 src-address-list=brute-force-attackers action=drop
add chain=input protocol=tcp dst-port=22,21,8291 connection-state=new action=add-src-to-address-list address-list=brute-force-attackers address-list-timeout=1m
add chain=input src-address-list=blocked-ips action=dropПорты: 22 — SSH, 21 — FTP, 8291 — Winbox. Атакующие IP блокируются на 24 часа.
2. Автоматическая очистка таблицы соединений
Со временем в conntrack накапливаются «мертвые» соединения. Раз в сутки можно сбрасывать таблицу:
/system script
add name=reset-conntrack source={
:log info "Resetting connection tracking...";
/ip firewall connection tracking set enabled=no;
:delay 1s;
/ip firewall connection tracking set enabled=yes;
}
/system scheduler
add name=reset-conntrack-daily interval=1d on-event=reset-conntrack3. Ограничение P2P-трафика (например, торрентов)
Используем Layer7 и очереди для «придушивания» нежелательного трафика:
/ip firewall layer7-protocol
add name=p2p-torrent regexp="^(\x13BitTorrent protocol|azver\$\x00|get /scrape\\\?info_hash=)|(/announce\\\?info_hash=)|d1:ad2:id20:|find_node|get_peers"
/ip firewall mangle
add chain=forward layer7-protocol=p2p-torrent action=mark-connection new-connection-mark=p2p-con
add chain=forward connection-mark=p2p-con action=mark-packet new-packet-mark=p2p-packet
/queue type
add name=p2p-queue type=pcq pcq-rate=128k
/queue tree
add name=p2p-limit parent=global packet-mark=p2p-packet queue=p2p-queue4. Отключение ненужных сервисов
Минимизируйте поверхность атаки:
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set api disabled=yes
set winbox address=192.168.1.0/24
set ssh address=192.168.1.0/24Оставьте только необходимые сервисы и ограничьте их доступ по доверенным подсетям.
5. Watchdog для перегрузки CPU
Если роутер иногда «зависает» из-за высокой загрузки CPU, настройте автоматическую перезагрузку:
/system script
add name=cpu-watchdog source={
:local cpu [/system resource get cpu-load];
:if ($cpu > 95) do={
:log warning "High CPU load detected ($cpu%) – rebooting...";
/system reboot;
}
}
/system scheduler
add name=cpu-watchdog-check interval=5m on-event=cpu-watchdog6. Автоматический бэкап конфигурации
Регулярно сохраняйте резервные копии на внешний сервер:
/system script
add name=backup-config source={
/system backup save name=auto-backup;
/tool fetch address=192.168.1.100 src-path=auto-backup.backup user=backup password=secret mode=ftp dst-path=auto-backup-[/system clock get date].backup;
}Заключение
Эти примеры — лишь основа. MikroTik позволяет реализовать гораздо более сложные сценарии: от гостевого Wi-Fi с авторизацией до интеграции с внешними системами мониторинга. Главное — тестируйте изменения в безопасной среде и всегда делайте бэкап перед внесением правок.
Удачи в настройке! И помните: хороший роутер — тот, который работает тихо и не требует вмешательства.
Комментарии
Пока нет комментариев. Будьте первым!