Le RouterOS de MikroTik dispose d’une très bonne capacité de pare-feu qui fait du routeur un dispositif de pare-feu.

En général, le pare-feu a trois fonctions principales :

1. Empêcher l’accès non autorisé
2. Bloquer les ports indésirables
3. Classifier et marquer les connexions et les paquets pour une politique de qualité de service ou de routage

 

Ces fonctions de pare-feu sont appliquées au routeur MikroTik RouterOS. Par exemple, vous pouvez utiliser le pare-feu du routeur MikroTik pour effectuer les opérations suivantes :

• Filtrer les paquets à l’aide de règles de filtrage
• NAT : SRCNAT et DSTNAT pour traduire les adresses source et destination
• Mangle : pour marquer les connexions et/ou les paquets
• RAW : abandonner ou contourner les paquets avant qu’ils n’atteignent le suivi de la connexion
• Ports de service : utilisation d’aides NAT
• et bien plus encore.

 

Chaînes de pare-feu MikroTik

 

Lorsque l’on parle de pare-feu chez MikroTik, il y a toujours ce que l’on appelle une chaîne. La chaîne est utilisée dans le pare-feu pour que le RouterOS puisse voir de quelle manière il veut restreindre les paquets. Je peux peut-être vous montrer quelques exemples :

Vous avez 3 chaînes dans le Firewall de MikroTik RouterOS comme suit :

• Forward
• Input
• Output

 

Celles-ci sont visibles lorsque vous créez une nouvelle règle de filtrage sur le pare-feu, comme suit :

Je vais expliquer chacune d’entre elles.

• Chain Forward : Cela signifie que le trafic qui traverse le routeur MikroTik est dirigé vers un autre endroit. Par exemple, si vous avez un PC dans le réseau local et que vous voulez aller sur google.com dans votre navigateur, le trafic provient de votre PC et passe par le routeur pour aller sur le serveur google.com sur Internet. C’est ce que l’on appelle le chain forward.

 

• Chaîne Input: Il s’agit du trafic destiné et terminé par le routeur MikroTik lui-même. Par exemple, lorsque vous ouvrez une session Winbox sur le routeur MikroTik, il s’agit d’une entrée de chaîne car le trafic est dirigé vers le routeur lui-même. Il en va de même si vous faites un SSH vers le routeur, ou un ping vers le routeur. Il s’agit dans tous les cas d’une entrée de chaîne.

 

• Chaîne Output : Il s’agit du trafic provenant du routeur MikroTik et destiné à une autre destination. Par exemple, si vous faites un ping depuis le routeur MikroTik lui-même vers google.com, cela fait partie de la sortie de chaîne.

 

Vous savez maintenant que lorsque vous souhaitez configurer des règles de filtrage, vous avez une idée de la chaîne à utiliser en fonction de votre scénario.

 

Principes de base du pare-feu

 

Vous pouvez créer de nombreuses règles de filtrage dans le pare-feu MikroTik. Ces règles de filtrage sont traitées dans l’ordre (en séquence). Cela signifie que si la 1^e règle est respectée, les autres règles ne seront pas vérifiées. Si vous êtes issu du monde de la programmation informatique, vous savez que vous disposez de la fonction « if, then, else ». Cela signifie que la 1^e ligne de programmation est vérifiée et que si elle correspond, une action se produit. Si ce n’est pas le cas, on passe à la 2^e commande, et ainsi de suite.

Même chose pour MikroTik Firewall, la 1^e règle de filtrage est vérifiée, si elle correspond, elle ne passe pas à la 2^e règle. Si elle ne correspond pas, elle passe à la 2^e règle. La même chose se produit pour la 2^e règle et ainsi de suite.

 

Vous pouvez voir que nous avons 10 règles de filtrage. Une fois que le paquet arrive sur le routeur MikroTik, il vérifie la 1^e règle, si elle correspond, il prend l’action que cette règle a. Si elle ne correspond pas, il passe à la deuxième règle. S’il ne correspond pas, il passe à la 2^e règle. Ensuite, la 2^e règle est également vérifiée – si elle correspond, il prend l’action prévue par cette règle, sinon il passe à la 3^e règle, et ainsi de suite.