Для более простого и наглядного понимания логики настройки правил firewall предлагаю использовать аналогию из реальной жизни. Представим процесс работы правил файрволла как деятельность охранника на предприятии.

Определим ключевые понятия согласно аналогии:

• Firewall — охранник
• Роутер MikroTik — офис
• LAN — территория предприятия
• WAN — внешняя территория
• Граница между LAN и WAN — шлагбаум
• Запросы к firewall — люди
• Трафик между LAN и WAN — автомобили

Начальное состояние firewall и создание первых правил

Изначально наш firewall пуст и не содержит ни одного правила (IP \ Firewall). Давайте создадим первые базовые правила.

1. Первым создается правило, разрешающее доверенным соединениям работать в сети без постоянной проверки. Разберём подробнее, как это реализовать (IP \ Firewall \ Filter Rules \ +).

Основные поля при создании правил firewall

Основное поле — Chain (Цепь), которое отвечает на вопрос КУДА?. Возможны три варианта:

input (входящий)

Трафик, направленный непосредственно на роутер и его службы.

Аналогия: человек приходит на проходную офиса, охранник проверяет документы и разрешает входить внутрь.

output (исходящий)

Трафик, исходящий от роутера, например, обновления системы.

Аналогия: человек пытается покинуть офис, охранник проверяет, разрешён ли выход.

forward (прямой)

Трафик, проходящий через роутер из внутренней сети LAN во внешнюю WAN и обратно.

Аналогия: автомобиль заезжает с внешней территории на территорию предприятия через шлагбаум, охранник решает, пропустить или нет.

Определение статуса соединения (Connection State)

Выбирая статус соединения, мы отвечаем на вопрос КТО?, то есть идентифицируем запрос по состоянию:

new (новое соединение)

Появляется новая сессия, требующая проверки.

Аналогия: незнакомый человек пришёл на проходную офиса - охранник проверяет документы.

established (установленное соединение)

Сессия уже проверена, дальнейшие пакеты считаются доверенными.

Аналогия: проверенный человек уже проходил охрану и может свободно перемещаться.

related (связанные соединения)

Дополнительные соединения, связанные с уже установленной сессией.

Аналогия: новый сотрудник из той же компании приходит с разрешения охранника.

invalid (невалидные пакеты)

Повреждённые или подозрительные пакеты.

Аналогия: человек без документов или с подозрительным поведением у охранника.

untracked (неотслеживаемые пакеты)

Пакеты, не требующие проверки.

Аналогия: важный представитель, который проходит без проверки документов.

Такая аналогия помогает лучше понять логику работы firewall, хотя в реальности могут быть дополнительные нюансы.

Действия firewall: разрешение и запрет

После выбора «кто» и «куда» определяется действие — разрешить или запретить:

• Accept — разрешить
• Drop — запретить

В большинстве случаев используются именно эти два действия.

Создание базовых правил доверенных соединений

Первым создаем правило, разрешающее доверенным соединениям работать без постоянной проверки:

IP \ Firewall \ Filter Rules \ + \
Chain: input \
Connection State: established; related; untracked \
Action: accept
Comment: established / related / untracked / OK
    

Аналогично создаем правило для трафика между внутренней и внешней сетью (цепь forward):

IP \ Firewall \ Filter Rules \ + \
Chain: forward \
Connection State: established; related; untracked \
Action: accept
Comment: established / related / untracked / OK
    

Эти правила снижают нагрузку на роутер, пропуская уже проверенный трафик без дополнительных проверок.

Дальнейшее создание правил для блокировки некорректных пакетов и внешнего трафика (кроме WinBox и VPN) будет рассмотрено в следующем видео.