CẤU HÌNH FIREWALL CƠ BẢN BẢO MẬT ROUTER CHUẨN DEFCONF TỪ MIKROTIK

BÀI HƯỚNG DẪN: CẤU HÌNH FIREWALL CƠ BẢN BẢO MẬT ROUTER CHUẨN DEFCONF TỪ MIKROTIK

Mục tiêu:

• Bảo vệ router (INPUT chain)
• Bảo vệ traffic đi qua (FORWARD chain)
• Cho phép NAT / Port Forward hoạt động bình thường
• Hỗ trợ VPN

Được tối ưu từ hãng → Phù hợp với hầu hết mọi hệ thống.

Sử dụng 2 chain chính:

• input → traffic vào router
• forward → traffic đi qua router

2. 🖥️ Cấu hình bằng Winbox với giao diện người dùng (GUI)

🔹 Bước 1: Tạo Interface List

> Giúp rule gọn và dễ quản lý, kiểm soát.

Vào tab:

Interfaces → Interface List → Lists.

Add 2 list bên dưới:

1. WAN

Name: WAN

2. LAN

Name: LAN

🔹 Bước 2: Gán interface vào list

Trong tab interface list chọn Add

Add:

Interface: ether1 → List: WAN. Trường hợp các bạn quay pppoe thì cần chọn đúng tên interface “pppoe-out”.

Interface: bridge → List: LAN

🔹 Bước 3: Tạo Firewall Filter Rules

Vào:

IP → Firewall → Filter Rules

🔰INPUT CHAIN (BẢO VỆ ROUTER)

✔️ Rule 1: Accept Established / Related / Untracked

General:

• Chain: input

Advanced:

• Connection State: established, related, untracked

Action:

• accept

> Cho phép kết nối hợp lệ đã được thiết lập (quan trọng nhất)

❌ Rule 2: Drop Invalid

• Chain: input
• Connection State: invalid
• Action: drop

> Loại bỏ packet lỗi / giả mạo truy cập vào

✔️ Rule 3: Allow ICMP

• Chain: input
• Protocol: icmp
• Action: accept

> Cho phép ping (dùng để monitoring)

✔️ Rule 4: Allow Loopback (CAPsMAN- Controlled Access Point system Manager)

• Chain: input
• Dst Address: 127.0.0.1
• Action: accept

> Dùng cho internal service (CAPsMAN, local process)

❌ Rule 5: Drop tất cả không phải/không đến từ LAN – Đây là rule quan trọng cho việc bảo vệ router của bạn

• Chain: input
• In Interface List: !LAN (lưu ý phải tích hiển thị dấu chấm than nhé!)
• Action: drop

> Ý nghĩa:

• Chỉ cho phép LAN truy cập router
• Chặn toàn bộ từ WAN

 🔰FORWARD CHAIN (BẢO VỆ TRAFFIC ĐI QUA ROUTER)

✔️ Rule 6: Accept IPsec (in)

• Chain: forward
• IPsec Policy: in, ipsec
• Action: accept

✔️ Rule 7: Accept IPsec (out)

• Chain: forward
• IPsec Policy: out, ipsec
• Action: accept

> Rule 7 và  8 cho phép VPN IPsec hoạt động

❌ Rule 8: Drop Invalid

• Chain: forward
• Connection State: invalid
• Action: drop

❌ Rule 9: Drop packet NEW từ WAN nếu không phải DST-NAT

• Chain: forward
• Connection State: new
• Connection NAT State: !dstnat
• In Interface List: WAN
• Action: drop

> Ý nghĩa cực quan trọng:

• Chặn truy cập từ Internet vào LAN
• Nhưng vẫn cho phép khi đã mở:
• Port Forward
• DNAT

LƯU Ý: Thứ tự Rule cần được sắp xếp đúng

INPUT:

1. established,related,untracked
2. invalid
3. icmp
4. loopback
5. drop !LAN

FORWARD:

6. ipsec in
7. ipsec out
8. invalid
9. drop WAN not dstnat

3. 💻 Cấu hình bằng CLI

> Copy vào terminal trên winbox chạy trực tiếp:

/ip firewall filter

add chain=input action=accept connection-state=established,related,untracked comment="defconf: accept established,related,untracked"

add chain=input action=drop connection-state=invalid comment="defconf: drop invalid"

add chain=input action=accept protocol=icmp comment="defconf: accept ICMP"

add chain=input action=accept dst-address=127.0.0.1 comment="defconf: accept to local loopback (for CAPsMAN)"

add chain=input action=drop in-interface-list=!LAN comment="defconf: drop all not coming from LAN"

add chain=forward action=accept ipsec-policy=in,ipsec comment="defconf: accept in ipsec policy"

add chain=forward action=accept ipsec-policy=out,ipsec comment="defconf: accept out ipsec policy"

add chain=forward action=drop connection-state=invalid comment="defconf: drop invalid"

add chain=forward action=drop connection-state=new connection-nat-state=!dstnat in-interface-list=WAN comment="defconf: drop all from WAN not DSTNATed"

4. Kiểm tra & Troubleshooting

Kiểm tra rule hit

/ip firewall filter print stats

> Nếu packet count tăng → OK

Test thực tế

***Lỗi thường gặp

❌ Không vào được router từ LAN

> Nguyên nhân:LAN chưa add vào Interface List, lỗi thường xuyên gặp phải

❌ Port Forward không hoạt động

> Nguyên nhân:Rule 9 block do thiếu dstnat

> Check:/ip firewall nat print

❌ VPN IPsec không chạy

> Do thiếu rule cho phép ipsec-policy

5. Nâng cao

♦Giới hạn ICMP (tránh ping flood)

add chain=input protocol=icmp limit=5,10 action=accept

♦Chỉ cho phép quản trị từ IP cụ thể

add chain=input src-address=192.168.1.10 action=accept

♦Cập nhật Log các kết nối bị drop

add chain=input action=log log-prefix="DROP INPUT"

♦Ẩn router khỏi scan

Chúng tôi khuyên bạn nên Tắt các service không dùng để giảm thiểu khả năng bị tấn công:

/ip service disable telnet,ftp,www,api