Mikrotik RouterOS Erste Basis Firewall - check
Hallo zusammen,
nachdem ich mit den Tutorials von aqui meine VLAN Konfiguration soweit hinbekommen habe, möchte ich den Router im nächsten Schritt an ein reines DSL-Modem hängen. Da es meine erste Firewall ist, die ich aufgebaut habe, würde es mich beruhigen, wenn jemand drüber schaut, der dabei Erfahrung hat. Das Router OS läuft auf einem Mikrotik RB5009 und soll die Internetverbindung über ein Modem herstellen.
Ziele meiner Firewall:
- Kein Zugriff aus dem WAN ohne Anforderung aus dem LAN
- Zugriff auf den Router über WinBox
- Fasttrack. Habe ich aus der Standard-Konfig übernommen. Bringt diese Funktion einen spürbaren Mehrwert, oder stellt sie eher ein Einfallstor dar, da die Pakete nicht mehr durch die Firewall gehen? Meine Regeln sind ja aktuell noch überschaubar
- Clients aus bestimmten VLANs dürfen Verbindungen ins WAN aufbauen
- VLANs dürfen untereinander keine Pakete austauschen
In der Liste "WAN" steht der Ethernet Port zum Modem, in der Liste "VLAN mit Internetzugriff" stehen die entsprechenden VLANs (VLAN1 steht nicht drin) und in der Liste "Administration" steht VLAN1.
Sind die Ziele mit der so konfigurierten Firewall erzielt? Habe ich etwas Wichtiges übersehen? Würdet ihr die Firewall anders aufbauen? Ich bin ein Freund von erstmal alles verbieten und dann gezielt öffnen. Das kann ich als Anfänger meiner Meinung nach besser überblicken. Daher habe ich die Standard Konfig für die Firewall nicht übernommen.
Danke für euren Input.
nachdem ich mit den Tutorials von aqui meine VLAN Konfiguration soweit hinbekommen habe, möchte ich den Router im nächsten Schritt an ein reines DSL-Modem hängen. Da es meine erste Firewall ist, die ich aufgebaut habe, würde es mich beruhigen, wenn jemand drüber schaut, der dabei Erfahrung hat. Das Router OS läuft auf einem Mikrotik RB5009 und soll die Internetverbindung über ein Modem herstellen.
Ziele meiner Firewall:
- Kein Zugriff aus dem WAN ohne Anforderung aus dem LAN
- Zugriff auf den Router über WinBox
- Fasttrack. Habe ich aus der Standard-Konfig übernommen. Bringt diese Funktion einen spürbaren Mehrwert, oder stellt sie eher ein Einfallstor dar, da die Pakete nicht mehr durch die Firewall gehen? Meine Regeln sind ja aktuell noch überschaubar
- Clients aus bestimmten VLANs dürfen Verbindungen ins WAN aufbauen
- VLANs dürfen untereinander keine Pakete austauschen
Flags: X - disabled, I - invalid; D - dynamic
0 D ;;; special dummy rule to show fasttrack counters
chain=forward action=passthrough
1 ;;; accept established,related
chain=input action=accept connection-state=established,related log=no log-prefix=""
2 ;;; accept WinBox
chain=input action=accept protocol=tcp in-interface-list=Administration dst-port=XXXXXX log=no log-prefix=""
3 ;;; drop everything else
chain=input action=drop connection-state="" log=no log-prefix=""
4 ;;; defconf: fasttrack for established, related
chain=forward action=fasttrack-connection hw-offload=yes connection-state=established,related log=no log-prefix=""
5 ;;; accept established,related
chain=forward action=accept connection-state=established,related log=no log-prefix=""
6 ;;; accept VLAN-List to WAN
chain=forward action=accept in-interface-list=VLAN mit Internetzugriff out-interface-list=WAN log=no log-prefix=""
7 ;;; drop everything else
chain=forward action=drop log=no log-prefix=""
Flags: X - disabled, I - invalid; D - dynamic
0 ;;; defconf: masquerade
chain=srcnat action=masquerade out-interface-list=WAN log=no log-prefix=""
In der Liste "WAN" steht der Ethernet Port zum Modem, in der Liste "VLAN mit Internetzugriff" stehen die entsprechenden VLANs (VLAN1 steht nicht drin) und in der Liste "Administration" steht VLAN1.
Sind die Ziele mit der so konfigurierten Firewall erzielt? Habe ich etwas Wichtiges übersehen? Würdet ihr die Firewall anders aufbauen? Ich bin ein Freund von erstmal alles verbieten und dann gezielt öffnen. Das kann ich als Anfänger meiner Meinung nach besser überblicken. Daher habe ich die Standard Konfig für die Firewall nicht übernommen.
Danke für euren Input.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 673676
Url: https://administrator.de/forum/mikrotik-routeros-firewall-konfiguration-673676.html
Ausgedruckt am: 13.07.2025 um 13:07 Uhr
8 Kommentare
Neuester Kommentar
Hi,
deine "Ziele" sind damit prinzipiell erfüllt, ja.
Bezüglich Fasttrack:
Fasttrack bringt definitiv spürbaren Mehrwert bei:
Das "Sicherheitsrisiko" ist minimal, da:
Ich würde (und habe es auch immer) aktiviert lassen.
Gruß
deine "Ziele" sind damit prinzipiell erfüllt, ja.
Bezüglich Fasttrack:
Fasttrack bringt definitiv spürbaren Mehrwert bei:
- Höherem Durchsatz (weniger CPU-Last)
- Besserer Performance bei established connections
- Hardware-Offloading (hw-offload=yes)
Das "Sicherheitsrisiko" ist minimal, da:
- Nur established/related connections betroffen sind
- Neue Verbindungen durchlaufen weiterhin alle Firewall-Regeln
- Bei Ihrer überschaubaren Regelanzahl ist der Sicherheitsgewinn durch Deaktivierung vernachlässigbar
Ich würde (und habe es auch immer) aktiviert lassen.
Gruß
Tip:
Wenn du den Router resettest und dir einmal die Default Firewall Settings für das Default Setup des Mikrotik Routers ansiehst, dann hast du eine optimale Blaupause für eine sichere und wasserdichte Internet Firewall am WAN Interface. (WAN Port eth1)
Wenn man unsicher ist sollte man diese Default Firewall Settings 1:1 übernehmen ebenso den IPv6 Part davon.
Hast du ja mehr oder minder auch schon gemacht wie die "defconf" Einträge in den Kommentar Settings ja zeigen.
Eine Firewall auf dem Interface wäre so ohne jegliche Funktion. Beachte das wenn du dir kein Sicherheitsloch schaffen willst!
Leider machst du ja keine Angaben welcher Art deine WAN Anbindung ist.
Wenn du den Router resettest und dir einmal die Default Firewall Settings für das Default Setup des Mikrotik Routers ansiehst, dann hast du eine optimale Blaupause für eine sichere und wasserdichte Internet Firewall am WAN Interface. (WAN Port eth1)
Wenn man unsicher ist sollte man diese Default Firewall Settings 1:1 übernehmen ebenso den IPv6 Part davon.
Hast du ja mehr oder minder auch schon gemacht wie die "defconf" Einträge in den Kommentar Settings ja zeigen.
steht der Ethernet Port zum Modem
Zu mindestens bei einem VDSL Modem Anschluss wäre das falsch, denn der WAN/Internet IP Port ist dann das PPPoE Interface und nicht das physische Ethernet Interface! Das physische Ethernet Interface über das das PPPoE Interface betrieben wird hat ja selber keinerlei IP Adresse und ist somit logischerweise damit gar nicht am IP Forwarding beteiligt! Wie auch ohne IP?!Eine Firewall auf dem Interface wäre so ohne jegliche Funktion. Beachte das wenn du dir kein Sicherheitsloch schaffen willst!
Leider machst du ja keine Angaben welcher Art deine WAN Anbindung ist.
Oder habe ich diesen Hinweis überlesen?
Da hast leider etwas überlesen oder missverstanden. Das Mikrotik VLAN Tutorial beschäftigt sich primär mit VLANs im lokalen LAN und Switching Umfeld.WAN Themen wie z.B. PPPoE haben mit LAN Techniken wie VLANs nur am Rande zu tun und spielen im Tutorial selber deshalb keine Rolle. Sie sind dann eher Thema in den weiterführenden Links am Schluss im Kapitel "WAN/Internet Anbindung" wie z.B. hier und auch hier.