Como configurar Controle de Acesso (Firewall) no Mikrotik: Passo a Passo

· Atualizado em
O Controle de Acesso no Mikrotik é essencial para proteger sua rede contra acessos não autorizados. Com o uso de regras de firewall, você pode permitir, bloquear ou restringir o tráfego de dispositivos, portas ou serviços específicos, garantindo maior segurança e desempenho para sua infraestrutura.

Passo a Passo para Configurar Controle de Acesso no Mikrotik

1. Entender os Principais Chains do Firewall

As regras de firewall operam em três chains principais:
  • Input: controla o tráfego direcionado ao próprio roteador.
  • Output: controla o tráfego originado do roteador.
  • Forward: controla o tráfego roteado entre interfaces (LAN para WAN ou vice-versa).

2. Permitir Acesso Somente de IPs Autorizados

Para garantir que apenas dispositivos confiáveis acessem o roteador:
  1. No menu IP > Firewall > Filter Rules, adicione uma regra:
    • Chain: input.
    • Src Address: insira o IP autorizado (ex.: 192.168.1.100).
    • Action: accept.
  2. Adicione outra regra para bloquear o restante:
    • Chain: input.
    • Action: drop.
Comando CLI: 
/ip firewall filter add chain=input src-address=192.168.1.100 action=accept comment="Permitir acesso do admin"
/ip firewall filter add chain=input action=drop comment="Bloquear outros acessos ao roteador"

3. Restringir Acesso a Serviços Específicos

Limite o acesso a serviços administrativos, como Winbox, SSH ou HTTPS, apenas a determinados IPs: Exemplo para SSH:
  1. Configure uma regra para permitir acesso SSH apenas do IP 192.168.1.100.
Comando CLI: 
/ip firewall filter add chain=input protocol=tcp dst-port=22 src-address=192.168.1.100 action=accept comment="Permitir SSH para admin"
/ip firewall filter add chain=input protocol=tcp dst-port=22 action=drop comment="Bloquear SSH para outros"

4. Bloquear Tráfego Não Desejado

  1. Identifique tráfego indesejado (ex.: portas específicas ou ataques comuns).
  2. Adicione uma regra para bloqueá-lo no chain forward ou input.
Exemplo para bloquear ICMP (ping): 
/ip firewall filter add chain=input protocol=icmp action=drop comment="Bloquear ping ao roteador"
Exemplo para bloquear portas específicas: 
/ip firewall filter add chain=forward protocol=tcp dst-port=445 action=drop comment="Bloquear tráfego SMB"

5. Habilitar Logging para Monitorar Acessos

Ative logs para acompanhar tentativas de acesso.
  1. Adicione uma regra no firewall com Action: log antes de regras de bloqueio.
  2. Monitore os logs com o comando:
Comando CLI: 
/ip firewall filter add chain=input action=log log-prefix="Tentativa de acesso: "
/log print where topics~"firewall"

6. Proteger o Roteador Contra Ataques (DDoS e Scans)

Implemente regras básicas para mitigar ataques comuns: Bloquear Scans de Porta: 
/ip firewall filter add chain=input protocol=tcp psd=21,3s,3,1 action=drop comment="Bloquear scans de porta"
Mitigar Ataques de Login SSH: 
/ip firewall filter add chain=input protocol=tcp dst-port=22 connection-limit=3,32 action=drop comment="Bloquear múltiplos acessos SSH"

7. Testar e Monitorar as Regras

  1. Utilize a aba Firewall > Filter Rules para monitorar pacotes processados por cada regra.
  2. Ajuste as regras conforme necessário para evitar bloqueios de tráfego legítimo.

Conclusão

O Controle de Acesso no Mikrotik é uma ferramenta poderosa para proteger sua rede e manter serviços essenciais funcionando de maneira segura. Com regras de firewall bem configuradas, é possível evitar acessos não autorizados e mitigar ataques comuns.