iptables — команда управления межсетевым экраном в linux. Является CLI для netfilter, для работы требует доступа уровня root. Состоит из пяти таблиц (filter, nat, mangle, raw, security), в каждой из которых от двух до пяти цепочек (prerouting, input, forward, output, postrouting). Наиболее востребованными являются таблицы filter и nat, поэтому примеры в этой заметке будут ориентированы именно на них.
Читать
Итак, имеем роутер Mikrotik, например, очень популярный RB951G-2HnD.
Считаем, что внутренняя сеть осталась нетронутой (192.168.88.0/24), IP роутера 192.168.88.1, внешний интерфейс ether1-gateway.
Первое, что надо сделать: защитить роутер от маньяков из интернета. По умолчанию, брандмауэр роутера разрешает все подключения. Мы не можем подключить к нему клавиатуру и монитор для настройки или корректировки того, что мы натворим в дальнейшем, поэтому отнеситесь внимательно к тому, что и как вы настраиваете. Читать
Нежелательный трафик блокируется брандмауэром, в то время как желаемый трафик пропускается через него.
Таким образом, цель брандмауэра – построить барьер безопасности между частными сетями и Интернетом.
Брандмауэр – это самый важный компонент сети! Читать
Firewalld представляет собой управляемый динамический брандмауэр, с поддержкой сетевых зон для определения уровня доверия к сетям или интерфейсам, которые вы используете для подключения. Он поддерживает конфигурации IPv4, IPv6 и мосты Ethernet.
Кроме того, брандмауэр поддерживает текущую конфигурацию и постоянную конфигурацию отдельно. Таким образом, firewalld также предоставляет приложениям удобный интерфейс для добавления правил в брандмауэр. Читать
Многие администраторы сетей стремятся автоматизировать процессы, связанные с обработкой событий Firewall на оборудовании Mikrotik. Одним из способов достичь этой цели является запуск скриптов, которые могут выполнять определенные действия при возникновении определенных событий Firewall.
Причины для запуска скриптов по событию Firewall могут быть разными. Некоторые администраторы могут заинтересоваться сохранением или передачей журналов событий, другие могут хотеть изменить настройки или выполнить какие-то действия на удаленных устройствах. Читать
FirewallD — это законченное решение межсетевого экрана, которое динамически управляет уровнем доверия сетевых подключений и интерфейсов. Это дает вам полный контроль над тем, какой трафик разрешен или запрещен в систему и из нее.
Начиная с CentOS 7, FirewallD заменяет iptables в качестве инструмента управления брандмауэром по умолчанию. Читать