Настройка IPv4 Firewall на MikroTik

Введение

Статья содержит пошаговое руководство по настройке IPv4 Firewall на роутерах MikroTik. Информация актуальна для RouterOS 7.22.3 Stable (май 2026 г.).

Описанные далее настройки основываются на приведенной ниже схеме сети, в т.ч. на том, что интерфейсы: ether2–ether5, а также оба интерфейса Wi-Fi объединены с помощью интерфейса bridge-LAN.

Рисунок 1. Схема сети

Секреты настройки MikroTik

Более 18.000 подписчиков самого большого telegram-канала «MikroTik-сэнсэй» первыми узнают секреты настройки MikroTik от автора этой вики.

В мае и июне 2026 г. будут разбираться: Wi-Fi, QoS, VLAN и файрвол.

Подписаться на «MikroTik‑сэнсэй»

Настройка Firewall

Настройка IPv4 Firewall на маршрутизаторах MikroTik выполняется:

в GUI по пути: IP → Firewall → Filter;
в CLI в разделе конфигурации: /ip/firewall/filter/.

Настройка взможна в трех цепочках: Input, Output и Forward. В цепочку Input попадают пакеты, конечным получателем которых является устройство MikroTik. Например, это может быть ping, запущенный до маршрутизатора. В цепочку Output попадают пакеты, исходным отправителем которых является устройство MikroTik. Например, это может быть ответ на ping, который ранее получил роутер. В цепочку Forward попадают пакеты, реальным исходным отправителем и реальным конечным получателем которых не является само устройство MikroTik (пакеты, проходящие «сквозь» маршрутизатор). Например, это может быть ping, запущенный с компьютера в локальной сети до узла в Интернете.

В большинстве конфигураций при корректно настроенной цепочке Input нет необходимости настраивать цепочку Output. Поэтому в рамках данной статьи будет рассмотрена настройка только двух цепочек: Input и Forward.

Обе цепочки будут настроены по принципу нормально закрытого файрвола для обращений из Интернета и нормально открытого файрвола для обращений из локальной сети. То есть любые обращения из Интернета по умолчанию будут отбрасываться, если для них нет отдельного разрешающего правила, а любые обращения из локальной сети по умолчанию будут разрешаться, если для них нет отдельного запрещающего правила.

При необходимости разрешить какие-либо виды соединений (например, VPN-соединения) надо будет добавить правила в соответствующую цепочку. При этом следует учитывать, что порядок расположения правил внутри цепочки играет роль, и поэтому даже корректно написанные, но добавленные в некорректное место внутри цепочки правила, могут либо не дать нужного эффекта, либо дать его, но при этом добавить какие-либо нежелательные эффекты, которые изначально не закладывались при создании правил.

Чек‑лист по настройке MikroTik RouterOS v7

Актуальность: RouterOS 7.22.3 (май 2026 г.)
Содержание: pdf-файл на четырех страницах, содержащий список пунктов, необходимых при настройке MikroTik (Firewall, Wi‑Fi, QoS, NAT, DHCP, DNS, а также многое другое).

Настройка цепочки Input

В цепочке Input необходимо создать четыре правила:

Правило, разрешающее established- и related-соединения, будет обрабатывать более 99 % пакетов в цепочке Input и начнет срабатывать после того, как успешно пройдет первый пакет соединения. Правило используется для снижения нагрузки на процессор роутера. Такое снижение без этого правила будет заметно при большом количестве правил в цепочке, если значительное количество пакетов будет обрабатываться правилами, расположенными ближе к концу списка.
Правило, запрещающее invalid-соединения, будет отбрасывать соединения, которые по каким-либо причинам роутер посчитает некорректными (ответы на запросы, которые не отправлялись, и др.)
Правило, разрешающее ICMP-пакеты для того, чтобы можно было использовать ping в целях диагностики. Оно разрешает ICMP-пакеты для любых интерфейсов, т.к. на практике ping не используется для атак.
Правило, отбрасывающее любые соединения, которые были начаты не из локальной сети. Оно позволит любым узлам, находящимся в локальной сети, делать любые обращения к роутеру без создания дополнительных правил для разных узлов и разных видов трафика.

Через графический интерфейс

С помощью WinBox 3

Рисунок 2. Общий принцип добавления новых правил в файрвол (IP Firewall Filter)

Рисунок 3. Настройка правила, разрешающего established- и related-трафик, в цепочке Input на вкладке General

Рисунок 4. Настройка правила, разрешающего established- и related-трафик, в цепочке Input на вкладке Action

Рисунок 5. Добавление комментария к правилу, разрешающему established- и related-трафик, в цепочке Input

Рисунок 6. Настройка правила, запрещающего invalid-трафик, в цепочке Input на вкладке General

Рисунок 7. Настройка правила, запрещающего invalid-трафик, в цепочке Input на вкладке Action

Рисунок 8. Добавление комментария к правилу, запрещающему invalid-трафик, в цепочке Input

Рисунок 9. Настройка правила, разрешающего ICMP-трафик, в цепочке Input на вкладке General

Рисунок 10. Настройка правила, разрешающего ICMP-трафик, в цепочке Input на вкладке Action

Рисунок 11. Добавление комментария к правилу, разрешающему ICMP-трафик, в цепочке Input

Рисунок 12. Настройка правила, запрещающего остальной трафик, в цепочке Input на вкладке General

Рисунок 13. Настройка правила, запрещающего остальной трафик, в цепочке Input на вкладке Action

Рисунок 14. Добавление комментария к правилу, запрещающему остальной трафик не из локальной сети, в цепочке Input на вкладке Action

С помощью WinBox 4

Рисунок 15. Общий принцип добавления новых правил в файрвол (IP Firewall Filter)

Рисунок 16. Настройка правила, разрешающего established- и related-трафик, в цепочке Input на вкладке General

Рисунок 17. Настройка правила, разрешающего established- и related-трафик, в цепочке Input на вкладке Action

Рисунок 18. Настройка правила, запрещающего invalid-трафик, в цепочке Input на вкладке General

Рисунок 19. Настройка правила, запрещающего invalid-трафик, в цепочке Input на вкладке Action

Рисунок 20. Настройка правила, разрешающего ICMP-трафик, в цепочке Input на вкладке General

Рисунок 21. Настройка правила, разрешающего ICMP-трафик, в цепочке Input на вкладке Action

Рисунок 22. Настройка правила, запрещающего остальной трафик, в цепочке Input на вкладке General

Рисунок 23. Настройка правила, запрещающего остальной трафик, в цепочке Input на вкладке Action

Через командную строку

/ip/firewall/filter/
add action=accept chain=input connection-state=established,related \
   comment="accept established related" 
add action=drop chain=input connection-state=invalid comment="drop invalid" 
add action=accept chain=input protocol=icmp comment="accept ICMP" 
add action=drop chain=input in-interface=!bridge-LAN \
   comment="drop all from not LAN"

Настройка цепочки Forward

В цепочке Forward необходимо создать три правила:

Правило, разрешающее established- и related-соединения, будет обрабатывать более 99 % пакетов в цепочке Forward и начнет срабатывать после того, как успешно пройдет первый пакет соединения. Правило используется для снижения нагрузки на процессор роутера. Такое снижение без этого правила будет заметно при большом количестве правил в цепочке, если значительное количество пакетов будет обрабатываться правилами, расположенными ближе к концу списка.
Правило, запрещающее invalid-соединения будет отбрасывать соединения, которые по каким-либо причинам роутер посчитает некорректными (ответы на запросы, которые не отправлялись, и др.).
Правило, отбрасывающее любые соединения, которые были начаты не из локальной сети, а также не относящиеся к пробросу портов. Правило позволит любым узлам, находящимся в локальной сети, делать любые обращения в Интернет без создания дополнительных правил для разных узлов и разных видов трафика, а также разрешит использовать пробросы портов для обращения из Интернета к ресурсам в локальной сети, если такие пробросы будут сделаны в дальнейшем.

Чек‑лист по настройке MikroTik RouterOS v7

Актуальность: RouterOS 7.22.3 (май 2026 г.)
Содержание: pdf-файл на четырех страницах, содержащий список пунктов, необходимых при настройке MikroTik (Firewall, Wi‑Fi, QoS, NAT, DHCP, DNS, а также многое другое).