Настройка IPv4 Firewall на MikroTik

Введение

Статья содержит пошаговое руководство по настройке IPv4 Firewall на роутерах MikroTik. Информация актуальна для RouterOS 7.22 Stable, последняя проверка актуальности была в марте 2026 г.

Описанные далее настройки основываются на приведенной ниже схеме сети, в т.ч. на том, что интерфейсы: ether2–ether5, а также оба интерфейса Wi-Fi объединены с помощью интерфейса bridge-LAN.

Рисунок 1. Схема сети

Секреты настройки MikroTik

Более 18.000 подписчиков самого большого telegram-канала «MikroTik-сэнсэй» первыми узнают секреты настройки MikroTik от автора этой вики.

В марте и апреле 2026 г. будут разбираться: Wi-Fi, QoS, VLAN и файрвол.

Подписаться на «MikroTik‑сэнсэй»

Настройка Firewall

Настройка IPv4 Firewall на маршрутизаторах MikroTik выполняется:

в GUI по пути: IP → Firewall → Filter;
в CLI в разделе конфигурации: /ip/firewall/filter/.

Настройка взможна в трех цепочках: Input, Output и Forward. В цепочку Input попадают пакеты, конечным получателем которых является устройство MikroTik. Например, это может быть ping, запущенный до маршрутизатора. В цепочку Output попадают пакеты, исходным отправителем которых является устройство MikroTik. Например, это может быть ответ на ping, который ранее получил роутер. В цепочку Forward попадают пакеты, реальным исходным отправителем и реальным конечным получателем которых не является само устройство MikroTik (пакеты, проходящие «сквозь» маршрутизатор). Например, это может быть ping, запущенный с компьютера в локальной сети до узла в Интернете.

В большинстве конфигураций при корректно настроенной цепочке Input нет необходимости настраивать цепочку Output. Поэтому в рамках данной статьи будет рассмотрена настройка только двух цепочек: Input и Forward.

Обе цепочки будут настроены по принципу нормально закрытого файрвола для обращений из Интернета и нормально открытого файрвола для обращений из локальной сети. То есть любые обращения из Интернета по умолчанию будут отбрасываться, если для них нет отдельного разрешающего правила, а любые обращения из локальной сети по умолчанию будут разрешаться, если для них нет отдельного запрещающего правила.

При необходимости разрешить какие-либо виды соединений (например, VPN-соединения) надо будет добавить правила в соответствующую цепочку. При этом следует учитывать, что порядок расположения правил внутри цепочки играет роль, и поэтому даже корректно написанные, но добавленные в некорректное место внутри цепочки правила, могут либо не дать нужного эффекта, либо дать его, но при этом добавить какие-либо нежелательные эффекты, которые изначально не закладывались при создании правил.

Чек‑лист по настройке MikroTik RouterOS v7

Актуальность: RouterOS 7.22 (март 2026 г.)
Содержание: pdf-файл на четырех страницах, содержащий список пунктов, необходимых при настройке MikroTik (Firewall, Wi‑Fi, QoS, NAT, DHCP, DNS, а также многое другое).

Настройка цепочки Input

В цепочке Input необходимо создать четыре правила:

Правило, разрешающее established- и related-соединения, будет обрабатывать более 99 % пакетов в цепочке Input и начнет срабатывать после того, как успешно пройдет первый пакет соединения. Правило используется для снижения нагрузки на процессор роутера. Такое снижение без этого правила будет заметно при большом количестве правил в цепочке, если значительное количество пакетов будет обрабатываться правилами, расположенными ближе к концу списка.
Правило, запрещающее invalid-соединения, будет отбрасывать соединения, которые по каким-либо причинам роутер посчитает некорректными (ответы на запросы, которые не отправлялись, и др.)
Правило, разрешающее ICMP-пакеты для того, чтобы можно было использовать ping в целях диагностики. Оно разрешает ICMP-пакеты для любых интерфейсов, т.к. на практике ping не используется для атак.
Правило, отбрасывающее любые соединения, которые были начаты не из локальной сети. Оно позволит любым узлам, находящимся в локальной сети, делать любые обращения к роутеру без создания дополнительных правил для разных узлов и разных видов трафика.

Через графический интерфейс

С помощью WinBox 3

Рисунок 2. Общий принцип добавления новых правил в файрвол (IP Firewall Filter)

Рисунок 3. Настройка правила, разрешающего established- и related-трафик, в цепочке Input на вкладке General

Рисунок 4. Настройка правила, разрешающего established- и related-трафик, в цепочке Input на вкладке Action

Рисунок 5. Добавление комментария к правилу, разрешающему established- и related-трафик, в цепочке Input

Рисунок 6. Настройка правила, запрещающего invalid-трафик, в цепочке Input на вкладке General

Рисунок 7. Настройка правила, запрещающего invalid-трафик, в цепочке Input на вкладке Action

Рисунок 8. Добавление комментария к правилу, запрещающему invalid-трафик, в цепочке Input

Рисунок 9. Настройка правила, разрешающего ICMP-трафик, в цепочке Input на вкладке General

Рисунок 10. Настройка правила, разрешающего ICMP-трафик, в цепочке Input на вкладке Action

Рисунок 11. Добавление комментария к правилу, разрешающему ICMP-трафик, в цепочке Input

Рисунок 12. Настройка правила, запрещающего остальной трафик, в цепочке Input на вкладке General

Рисунок 13. Настройка правила, запрещающего остальной трафик, в цепочке Input на вкладке Action

Рисунок 14. Добавление комментария к правилу, запрещающему остальной трафик не из локальной сети, в цепочке Input на вкладке Action

С помощью WinBox 4

Рисунок 15. Общий принцип добавления новых правил в файрвол (IP Firewall Filter)

Рисунок 16. Настройка правила, разрешающего established- и related-трафик, в цепочке Input на вкладке General

Рисунок 17. Настройка правила, разрешающего established- и related-трафик, в цепочке Input на вкладке Action

Рисунок 18. Настройка правила, запрещающего invalid-трафик, в цепочке Input на вкладке General

Рисунок 19. Настройка правила, запрещающего invalid-трафик, в цепочке Input на вкладке Action

Рисунок 20. Настройка правила, разрешающего ICMP-трафик, в цепочке Input на вкладке General

Рисунок 21. Настройка правила, разрешающего ICMP-трафик, в цепочке Input на вкладке Action

Рисунок 22. Настройка правила, запрещающего остальной трафик, в цепочке Input на вкладке General

Рисунок 23. Настройка правила, запрещающего остальной трафик, в цепочке Input на вкладке Action

Через командную строку

/ip/firewall/filter/
add action=accept chain=input connection-state=established,related \
   comment="accept established related" 
add action=drop chain=input connection-state=invalid comment="drop invalid" 
add action=accept chain=input protocol=icmp comment="accept ICMP" 
add action=drop chain=input in-interface=!bridge-LAN \
   comment="drop all from not LAN"

Настройка цепочки Forward

В цепочке Forward необходимо создать три правила:

Правило, разрешающее established- и related-соединения, будет обрабатывать более 99 % пакетов в цепочке Forward и начнет срабатывать после того, как успешно пройдет первый пакет соединения. Правило используется для снижения нагрузки на процессор роутера. Такое снижение без этого правила будет заметно при большом количестве правил в цепочке, если значительное количество пакетов будет обрабатываться правилами, расположенными ближе к концу списка.
Правило, запрещающее invalid-соединения будет отбрасывать соединения, которые по каким-либо причинам роутер посчитает некорректными (ответы на запросы, которые не отправлялись, и др.).
Правило, отбрасывающее любые соединения, которые были начаты не из локальной сети, а также не относящиеся к пробросу портов. Правило позволит любым узлам, находящимся в локальной сети, делать любые обращения в Интернет без создания дополнительных правил для разных узлов и разных видов трафика, а также разрешит использовать пробросы портов для обращения из Интернета к ресурсам в локальной сети, если такие пробросы будут сделаны в дальнейшем.

Чек‑лист по настройке MikroTik RouterOS v7

Актуальность: RouterOS 7.22 (март 2026 г.)
Содержание: pdf-файл на четырех страницах, содержащий список пунктов, необходимых при настройке MikroTik (Firewall, Wi‑Fi, QoS, NAT, DHCP, DNS, а также многое другое).