Název školy: Autor: Název: Číslo projektu: Název projektu: SŠ spojů a informatiky Tábor Tomáš Jansa VY_32_INOVACE_OV16 CZ.1.07/1.5.00/ Moderní škola – inovace výuky na SŠSI Tábor
Firewall
Úvod V této prezentaci popisuji, jak v mikrotiku nastavit různá pravidla ve firewallu nebo přesměrování stránek pomocí NAT.
Firewall Do nabídky Firewall vstoupíme tak, že zvolíme v hlavní nabídce ip a pak firewall. Můžeme zde vidět 2 základní záložky a to Filter rules a NAT
Firewall - Filter rules Pokud chceme přidat nové pravidlo firewallu, stiskneme tlačítko + a zobrazí se nám okno, kde zadáváme pravidla na principu KDYŽ -> POTOM. To znamená, že pokud zadám podmínku a ta platí, provede se nějaká akce.
Firewall - Filter rules - Chains Jednou z nejdůležitějších častí podminky je Chain, kde máme 3 základní typy. Input – omezovaní vstupu do mikrotiku Output – omezování výstupu Forward – omezování paketů, které procházejí přes router
Firewall - Filter rules - Chains Na dalším snímku si ukážeme jednoduché pravidlo, kde zadáme nějakou cílovou adresu, kterou budeme blokovat. V našem případě jsme vybral například adresu webového serveru který má ip adresu (nebo ), a dále jsme zvolil tcp port 80. tzn. router bude blokovat průchozí konfiguraci na tuto ip adresu s portem 80, tzn. bude blokovat pouze webové stránkywww.seznam.cz
Příklad nastavení Firewallu Na dalším obrázku je vidět příklad firewallu, kde jsou 2 pravidla první výše zmíněné a pokud toto pravidlo neplatí, vše ostatní firewall povolí. Firewall tedy prochází řádek po řádku, ale jakmile dojde k první podmínce, která má akce accept, firewall další řádky pod tímto acceptem neprochází.
Příklad nastavení Firewallu Další obrázek je příklad, jak mohu zablokovat jakoukoliv službu na routeru mikrotik, v našem případě budu blokovat vstup do mikrotiku na portu 23, což je blokace telnetového serveru.
Příklad nastavení Firewallu Pokud přidáme pravidlo, pravidlo se vždy přidá jako poslední řádek (obrázek na další stránce), ale v tomto případě je toto špatně, protože se toto pravidlo nikdy nemůže provést z důvodu, že nad ním je pravidlo accept pro všechny pakety. Je tedy nutné umět firewall seřadit.
Přesunout myší Takto je to správně
NAT Záložka nat slouží ke změně cílové adresy (chain DST-NAT) nebo ke změně zdrojové adresy (chain SRT-NAT), kde je pro toto typický přiklad masquerade.
NAT - příklad Nyní si ukážeme, jak změnit cílovou adresu procházejícího paketu, například pokud zadám do webového prohlížeče tak se mi nezobrazí seznam, ale jakákoliv libovolná stránka, například
Závěr Firewall má o mnoho více funkcí, proto pro další informace o firewallu navštivte web wiki.mikrotik.com