Оптимизация и безопасность MikroTik: выжимаем максимум и защищаем сеть

Введение

После базовой настройки маршрутизатора важно сделать систему стабильной, быстрой и защищённой от внешних и внутренних угроз. Эта статья поможет вам оптимизировать работу MikroTik и закрыть типовые уязвимости.

1. Отключение ненужных сервисов

Перейдите в IP → Services и отключите всё, что не используете:

• Telnet
• FTP
• API, API-SSL (если не используете внешние приложения)
• Mac Server (при необходимости)

Оставьте только Winbox и SSH при необходимости.

2. Ограничение доступа к админ-интерфейсам

В IP → Services у каждого сервиса можно указать Allowed From — задайте диапазон, например 192.168.88.0/24, чтобы доступ был только из локальной сети.

Также можно запретить доступ к Winbox с внешнего интерфейса через Firewall:

/ip firewall filter add chain=input protocol=tcp dst-port=8291 in-interface=ether1 action=drop comment="Block Winbox from WAN"

3. FastTrack: увеличение скорости маршрутизации

FastTrack позволяет ускорить обработку трафика. Добавьте правило выше обычного accept:

/ip firewall filter add chain=forward action=fasttrack-connection connection-state=established,related

/ip firewall filter add chain=forward action=accept connection-state=established,related

Важно: FastTrack не совместим с некоторыми видами мониторинга и VPN (например, L7, Traffic Flow).

4. Настройка резервного копирования

4.1 Локальный бэкап

/system backup save name=config_backup

Файл будет сохранён во вкладке Files.

4.2 Автоматический экспорт настроек

Можно настроить ежедневный экспорт конфигурации в файл:

/system scheduler add name=auto-export interval=1d on-event="export file=config_export"

4.3 Отправка бэкапа на e-mail

Настройте SMTP (через Tools → Email) и добавьте скрипт:

/tool e-mail send [email protected] subject="MikroTik Backup" file=config_backup.backup

5. Обнаружение и защита от сканирования и DoS

5.1 Ограничение входящих подключений

/ip firewall filter add chain=input protocol=tcp connection-limit=30,32 action=drop comment="Limit incoming TCP"

5.2 Защита от SYN Flood

/ip firewall filter add chain=input protocol=tcp tcp-flags=syn connection-limit=5,32 action=drop comment="Drop SYN Flood"

5.3 Ограничение ICMP (ping)

/ip firewall filter add chain=input protocol=icmp limit=10,5 action=accept

/ip firewall filter add chain=input protocol=icmp action=drop

6. Обновление RouterOS и RouterBOARD

1. Перейдите в System → Packages и нажмите Check for Updates
2. После обновления пакетов проверьте System → RouterBOARD и нажмите Upgrade (если доступно)
3. Перезагрузите устройство

7. Дополнительные советы

• Переименуйте интерфейсы (например, ether1 → WAN, bridge → LAN)
• Удалите неиспользуемые правила NAT, DHCP, PPP
• Регулярно проверяйте Log и Torch для анализа трафика
• Заведите второго пользователя с ограниченными правами

Заключение

Теперь ваш маршрутизатор защищён и работает быстрее. В следующей статье мы создадим сегментированную сеть с отдельными VLAN для умного дома, семьи, ТВ и рабочих устройств.

📌 Следующая часть: «Сегментация и изоляция устройств в MikroTik: VLAN, DHCP и контроль доступа»