querdrift

Mikrotik RouterOS Erste Basis Firewall - check

Hallo zusammen,

nachdem ich mit den Tutorials von aqui meine VLAN Konfiguration soweit hinbekommen habe, möchte ich den Router im nächsten Schritt an ein reines DSL-Modem hängen. Da es meine erste Firewall ist, die ich aufgebaut habe, würde es mich beruhigen, wenn jemand drüber schaut, der dabei Erfahrung hat. Das Router OS läuft auf einem Mikrotik RB5009 und soll die Internetverbindung über ein Modem herstellen.

Ziele meiner Firewall:
- Kein Zugriff aus dem WAN ohne Anforderung aus dem LAN
- Zugriff auf den Router über WinBox
- Fasttrack. Habe ich aus der Standard-Konfig übernommen. Bringt diese Funktion einen spürbaren Mehrwert, oder stellt sie eher ein Einfallstor dar, da die Pakete nicht mehr durch die Firewall gehen? Meine Regeln sind ja aktuell noch überschaubar
- Clients aus bestimmten VLANs dürfen Verbindungen ins WAN aufbauen
- VLANs dürfen untereinander keine Pakete austauschen


Flags: X - disabled, I - invalid; D - dynamic 
 0  D ;;; special dummy rule to show fasttrack counters
      chain=forward action=passthrough 

 1    ;;; accept established,related
      chain=input action=accept connection-state=established,related log=no log-prefix=""   

 2    ;;; accept WinBox
      chain=input action=accept protocol=tcp in-interface-list=Administration dst-port=XXXXXX log=no log-prefix=""   

 3    ;;; drop everything else
      chain=input action=drop connection-state="" log=no log-prefix=""   

 4    ;;; defconf: fasttrack for established, related
      chain=forward action=fasttrack-connection hw-offload=yes connection-state=established,related log=no log-prefix=""   

 5    ;;; accept established,related
      chain=forward action=accept connection-state=established,related log=no log-prefix=""   

 6    ;;; accept VLAN-List to WAN
      chain=forward action=accept in-interface-list=VLAN mit Internetzugriff out-interface-list=WAN log=no log-prefix=""   

 7    ;;; drop everything else
      chain=forward action=drop log=no log-prefix=""   

Flags: X - disabled, I - invalid; D - dynamic 
 0    ;;; defconf: masquerade
      chain=srcnat action=masquerade out-interface-list=WAN log=no log-prefix=""  

In der Liste "WAN" steht der Ethernet Port zum Modem, in der Liste "VLAN mit Internetzugriff" stehen die entsprechenden VLANs (VLAN1 steht nicht drin) und in der Liste "Administration" steht VLAN1.

Sind die Ziele mit der so konfigurierten Firewall erzielt? Habe ich etwas Wichtiges übersehen? Würdet ihr die Firewall anders aufbauen? Ich bin ein Freund von erstmal alles verbieten und dann gezielt öffnen. Das kann ich als Anfänger meiner Meinung nach besser überblicken. Daher habe ich die Standard Konfig für die Firewall nicht übernommen.

Danke für euren Input.
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilen

Content-ID: 673676

Url: https://administrator.de/forum/mikrotik-routeros-firewall-konfiguration-673676.html

Ausgedruckt am: 13.07.2025 um 13:07 Uhr

michi1983
Lösung michi1983 03.07.2025 um 11:47:39 Uhr
Hi,

deine "Ziele" sind damit prinzipiell erfüllt, ja.

Bezüglich Fasttrack:

Fasttrack bringt definitiv spürbaren Mehrwert bei:

  • Höherem Durchsatz (weniger CPU-Last)
  • Besserer Performance bei established connections
  • Hardware-Offloading (hw-offload=yes)

Das "Sicherheitsrisiko" ist minimal, da:

  • Nur established/related connections betroffen sind
  • Neue Verbindungen durchlaufen weiterhin alle Firewall-Regeln
  • Bei Ihrer überschaubaren Regelanzahl ist der Sicherheitsgewinn durch Deaktivierung vernachlässigbar

Ich würde (und habe es auch immer) aktiviert lassen.

Gruß
aqui
Lösung aqui 03.07.2025 aktualisiert um 17:37:13 Uhr
Tip:
Wenn du den Router resettest und dir einmal die Default Firewall Settings für das Default Setup des Mikrotik Routers ansiehst, dann hast du eine optimale Blaupause für eine sichere und wasserdichte Internet Firewall am WAN Interface. (WAN Port eth1)
Wenn man unsicher ist sollte man diese Default Firewall Settings 1:1 übernehmen ebenso den IPv6 Part davon.
Hast du ja mehr oder minder auch schon gemacht wie die "defconf" Einträge in den Kommentar Settings ja zeigen. face-wink

steht der Ethernet Port zum Modem
Zu mindestens bei einem VDSL Modem Anschluss wäre das falsch, denn der WAN/Internet IP Port ist dann das PPPoE Interface und nicht das physische Ethernet Interface! Das physische Ethernet Interface über das das PPPoE Interface betrieben wird hat ja selber keinerlei IP Adresse und ist somit logischerweise damit gar nicht am IP Forwarding beteiligt! Wie auch ohne IP?!
Eine Firewall auf dem Interface wäre so ohne jegliche Funktion. Beachte das wenn du dir kein Sicherheitsloch schaffen willst!
Leider machst du ja keine Angaben welcher Art deine WAN Anbindung ist. face-sad
Querdrift
Querdrift 03.07.2025 aktualisiert um 16:16:17 Uhr
Default Firewall Settings

So bin ich auch an die Sache rangegangen. Mir waren dort zu viele Funktionen drin, die ich aktuell nicht nutze und daher auch nicht verstehe, daher wollte ich die erstmal raus haben. Außerdem wurden "untracked" Pakete durchgelassen, was ich ebenfalls nicht benötige. Der letzte Drop wird dann in der Standard Settings so gestaltet, dass alles gedropt wird, was nicht durchgelassen werden soll. Mir ist es lieber alles zu droppen und davor das zu definieren was durch darf, da ich es nachvollziehen kann. Ich kann momentan nicht überblicken was alles durch kann, wenn nur bestimmte Pakete blockiert werden. So ist dann aus den Standard Settings meine Settings entstanden.

der WAN/Internet IP Port ist dann das PPPoE Interface und nicht das physische Ethernet Interface!

Danke für diesen Hinweis, das war mir so nicht bewusst. Eventuell macht ein Hinweis in deinem Mikrotik VLAN Tutorial im Kapitel "In der Bridge die VLANs und das Tagging der Bridge Ports setzen" Sinn. Du gehst in diesem Tutorial immer wieder auf die wichtigen Einstellungen von PPPoE und Kaskade ein. Oder habe ich diesen Hinweis überlesen? Bin das Tutorial eben nochmals bis zum DHCP Server durchgegangen.
michi1983
michi1983 03.07.2025 aktualisiert um 16:59:50 Uhr
Behalte im Kopf, dass bei Mikrotik gilt: first match wins.
Sprich, wenn du die drop Regal zu Beginn platzierst, kannst du danach so viele accept Regeln wie du magst platzieren, die würden nicht mehr abgearbeitet werden.
aqui
aqui 03.07.2025 aktualisiert um 17:37:54 Uhr
Oder habe ich diesen Hinweis überlesen?
Da hast leider etwas überlesen oder missverstanden. Das Mikrotik VLAN Tutorial beschäftigt sich primär mit VLANs im lokalen LAN und Switching Umfeld.
WAN Themen wie z.B. PPPoE haben mit LAN Techniken wie VLANs nur am Rande zu tun und spielen im Tutorial selber deshalb keine Rolle. Sie sind dann eher Thema in den weiterführenden Links am Schluss im Kapitel "WAN/Internet Anbindung" wie z.B. hier und auch hier.
Querdrift
Querdrift 03.07.2025 aktualisiert um 22:10:23 Uhr
first match wins

Ja das ist mir bewusst. Die unterschiedlichen Chains werden aber getrennt voneinander abgehandelt, oder? Den Drop habe ich ja immer am Ende einer Chain stehen.

@aqui: Ich dachte bei dem Bild mit der Interface List könnte man den Hinweis geben. Das hat mich aufs Glatteis geführt. Analog dem Hinweis (Die statische Route entfällt bei der Verwendung von NAT (IP Adress Translation) am Koppelport) Aber ja, mit VLAN hat das natürlich nichts zu tun.
Querdrift
Querdrift 04.07.2025 um 10:42:41 Uhr
@aqui: Bitte nicht falsch verstehen. Ich bin mega dankbar für deine Tutorials und finde sie sehr gut, übersichtlich und detailreich. Ohne diese hätte ich den Schritt, mein Netzwerk in diesem Umfang selbst in die Hand zu nehmen, nicht gewagt. Ich wollte nur konstruktiv einen Verbesserungsvorschlag machen.
aqui
aqui 04.07.2025 aktualisiert um 16:34:25 Uhr
Alles gut! Keine Sorge. Feedback ist immer willkommen, denn unterschiedlich User haben unterschiedliche Sichtweisen auf solche Anleitungen. Insofern sind konstruktive Anmerkungen dazu immer hilfreich und hast du alles richtig gemacht!! 👍 😊