Ruterat nga prodhuesi Mikrotik po bëhen gjithnjë e më të popullarizuar për shkak të çmimit të tyre tërheqës dhe funksionalitetit të pasur. Ndoshta, në segmentin SOHO, Mikrotik është lider. Sot duam të flasim për opsione të dobishme konfigurimi që do të ndihmojnë në forcimin e rezistencës ndaj sulmeve të jashtme dhe sigurimin e funksionimit të qëndrueshëm për zyrën tuaj Mikrotik.

Mbrojtja Mikrotik

1. Ndryshimi i hyrjes dhe fjalëkalimit të administratorit

Le të fillojmë me mbrojtjen kryesore të ruterit tonë - duke krijuar një hyrje dhe fjalëkalim administratori rezistent ndaj hakerëve. Si parazgjedhje, Mikrotik përdor hyrjen admin dhe një fjalëkalim bosh. Le ta rregullojmë këtë: lidheni përmes Winbox me ruterin tonë dhe shkoni te seksioni i cilësimeve Sistemi → Përdoruesit. Ne e shohim përdoruesin admin e cila është konfiguruar si parazgjedhje:

Le të shtojmë një përdorues të ri i cili do të ketë detaje më të rrepta të hakerimit (hyrje/fjalëkalim). Për ta bërë këtë, klikoni në ikonën "+" në këndin e sipërm të majtë:

Ju lutemi vini re se në fushën Grup duhet të zgjidhni plot për t'i dhënë privilegje administrative përdoruesit. Pasi të jenë bërë cilësimet, fshini përdoruesin admin dhe tani e tutje ne përdorim vetëm përdoruesin e ri për t'u lidhur me ndërfaqen e administrimit.

2. Portet e shërbimit

Ruteri Mikrotik ka "lidhur" disa shërbime, portat e të cilëve janë të aksesueshme nga interneti publik. Potencialisht, kjo është një dobësi për qarkun e rrjetit tuaj. Prandaj, ju sugjerojmë të shkoni te seksioni i cilësimeve IP → Shërbimet:

Nëse aksesoni Mikrotik vetëm përmes Winbox, atëherë ju sugjerojmë të çaktivizoni të gjitha shërbimet përveç winbox Dhe ssh(lëni ssh për çdo rast), domethënë:

• api-ssl
• www-ssl

Për ta fikur, klikoni ikonën e kuqe "x". Që kur u larguam SSH hyrjen në server, le ta "sigurojmë" atë duke ndryshuar portin nga 22 në 6022. Për ta bërë këtë, klikoni dy herë në portën e shërbimit SSH dhe specifikoni cilësimin në dritaren që hapet:

Klikoni Aplikoni Dhe OK.

3. Mbrojtja nga forca brute (forca brute)

Në faqen zyrtare të Mikrotik ka rekomandime se si të mbroni ruterin tuaj nga forca brutale e fjalëkalimit nëpërmjet aksesit FTP dhe SSH. Në hapin e mëparshëm, ne mbyllëm aksesin FTP, kështu që nëse ndiqni me përpikëri këto udhëzime, atëherë përdorni vetëm kodin për t'u mbrojtur nga sulmet SSH. NË ndryshe, kopjoni të dyja. Pra, hapni terminalin e menaxhimit të ruterit. Për ta bërë këtë, në menunë e djathtë të navigimit, klikoni Terminali i ri. Kopjoni në mënyrë sekuenciale kodin më poshtë në tastierën e ruterit:

/ip firewall filter #Blloko sulmet FTP add chain=input protocol=tcp dst-port=21 src-address-list=ftp_blacklist action=drop \ comment="drop ftp brute forcers" add chain=output action=prano protokollin=tcp përmbajtje ="530 Identifikimi i gabuar" dst-limit=1/1m,9,dst-address/1m add chain=output action=add-dst-to-address-list protocol=tcp content="530 Identifikimi i gabuar" \ lista e adresave =ftp_blacklist address-list-timeout=3h #Blloko sulmet nëpërmjet SSH add chain=input protocol=tcp dst-port=22 src-address-list=ssh_blacklist action=drop \ comment=drop ssh brute forcers" disabled=nuk shton zinxhir=protokollin e hyrjes=tcp dst-port=22 status-lidhje=i ri \ src-address-list=ssh_stage3 action=add-src-to-address-list address-list=ssh_lista e zezë \ lista-adresa -timeout=10d koment="" disabled=nuk shton zinxhir=protokollin e hyrjes=tcp dst-port=22 connection-state=new \ src-address-list=ssh_stage2 action=add-src-to-address-list list-address =ssh_stage3 \ address-list-timeout=1m koment="" disabled=nuk shton zinxhir=protokollin e hyrjes=tcp dst-port=22 connection-state=new src-address-list=ssh_stage1 \ action=add-src-to- list-address address-list=ssh_stage2 address-list-timeout=1m koment="" disabled=no add chain=protocol input=tcp dst-port=22 connection-state=new action=add-src-to-address-list \ adresa-list=ssh_stage1 adresa-list-timeout=1 milion koment="" disabled=jo

Krijimi i një kopje rezervë të konfigurimit

Në rast dështimi ose aksidenti të ruterit, duhet të keni në dorë konfigurimin e tij për rikuperim të shpejtë. Është jashtëzakonisht e thjeshtë për ta bërë: hapni terminalin duke klikuar në menynë e navigimit Terminali i ri dhe specifikoni komandën e mëposhtme:

Eksporto skedarin=backup2020-02-10_01:01:22

Skedari mund të gjendet duke klikuar në seksionin në menunë e lundrimit Skedarët. Shkarkoni atë në kompjuterin tuaj duke klikuar klikoni me të djathtën miun dhe përzgjedhjen Shkarkoni

Bllokimi i hyrjes në sit

Gjatë orarit të punës, punonjësit duhet të punojnë. Prandaj, le të bllokojmë hyrjen në burimet argëtuese si Youtube, Facebook dhe Vkontakte. Për ta bërë këtë, shkoni te seksioni IP → Firewall. Klikoni në skedën Protokolli i Shtresës 7 dhe pastaj klikoni në ikonën "+" në këndin e sipërm të majtë:

Ne i japim një emër rregullit tonë, i cili do të funksionojë në nivelin 7 të modelit OSI, dhe në seksionin Regexp shtojmë:

^.+(youtube.com|facebook.com|vk.com).*$

Klikoni OK dhe shkoni te skeda Rregullat e filtrit dhe klikoni ikonën "+":

Në seksionin Zinxhiri, zgjidhni Përpara. Në të njëjtën dritare, shkoni te skeda E avancuar dhe në fushën Layer 7 Protocol zgjidhni rregullin e bllokimit që krijuam:

Shkoni te skeda Veprimi, dhe atje zgjidhni Action = Drop:

Kur të përfundojnë cilësimet, klikoni Aplikoni Dhe OK.

Ishte ky artikull i dobishëm për ju?

Ju lutem më tregoni pse?

Na vjen keq që artikulli nuk ishte i dobishëm për ju: (Ju lutemi, nëse nuk është i vështirë, tregoni pse? Do t'ju jemi shumë mirënjohës për një përgjigje të detajuar. Faleminderit që na ndihmoni të bëhemi më të mirë!

Forca brutale është kur dikush përpiqet, ndonjëherë gjatë dhe vështirë, të hamendësojë fjalëkalimin tonë për çdo gjë duke përdorur forcë brutale. Në Linux, fail2ban përdoret me sukses për të mbrojtur kundër kësaj. Nuk ka një kënaqësi të tillë në Mikrotik, kështu që ne do të kemi kënaqësinë të krijojmë mbrojtje kundër dhunës me duart tona.

Lista e plotë e komandave, të cilën me siguri e keni parë në wiki zyrtare (http://wiki.mikrotik.com/wiki/Bruteforce_login_prevention):

shtoni zinxhir=protokollin e hyrjes=tcp dst-port=22 src-address-list=ssh_blacklist action=drop comment="hiq ssh brute forcers" disabled=jo
shtoni zinxhir=protokollin e hyrjes=tcp dst-port=22 connection-state=new src-address-list=ssh_stage3 action=add-src-to-address-list address-list=ssh_blacklist address-list-timeout=10d koment=" "disabled=nr
shtoni zinxhir=protokollin e hyrjes=tcp dst-port=22 connection-state=new src-address-list=ssh_stage2 action=add-src-to-address-list address-list=ssh_stage3 address-list-timeout=1m koment=" "disabled=nr
shtoni zinxhir=protokollin e hyrjes=tcp dst-port=22 connection-state=new src-address-list=ssh_stage1 action=add-src-to-address-list address-list=ssh_stage2 address-list-timeout=1m koment=" "disabled=nr
shtoni zinxhir=protokollin e hyrjes=tcp dst-port=22 connection-state=new action=add-src-to-address-list address-list=ssh_stage1 address-list-timeout=1m koment="" disabled=jo

Dhe ka shumë vende në internet ku ky grup është i disponueshëm. Unë thjesht do të shpjegoj pak se çfarë bën.

Ideja është kjo: ne japim tre përpjekje legjitime brenda një kohe të shkurtër për t'u lidhur nëpërmjet ssh (22/tcp, nëse keni një port tjetër, përdorni tuajin). Në përpjekjen e katërt, ne ju ndalojmë për 10 ditë. Ne kemi të drejtë. Pra, hap pas hapi.

1. Kur vendosim një lidhje të re (connection-state=new) me portin 22/tcp, ne kujtojmë IP-në e burimit dhe e vendosim atë në listën “ssh_stage1” për 1 minutë:

shtoni zinxhir=protokollin e hyrjes=tcp dst-port=22 connection-state=new action=add-src-to-address-list address-list=ssh_stage1 address-list-timeout=1m koment="" disabled=jo

2. Nëse gjatë kësaj minute ky “dikush” (dhe ne e kujtojmë atë në “ssh_stage1”) dëshiron edhe një herë të krijojë një lidhje të re me 22/tcp, ne do ta shtojmë atë në listën “ssh_stage2”, dhe gjithashtu për 1 minutë:

shtoni zinxhir=protokollin e hyrjes=tcp dst-port=22 connection-state=new src-address-list=ssh_stage1 action=add-src-to-address-list address-list=ssh_stage2 address-list-timeout=1m koment=" "disabled=nr

3. Nëse gjatë kësaj minute ky “dikush” (tani në “ssh_stage2”) dëshiron sërish të lidhet me 22/tcp, ne e shtojmë atë në listën “ssh_stage3” (po, e keni marrë me mend, përsëri për 1 minutë):

shtoni zinxhir=protokollin e hyrjes=tcp dst-port=22 connection-state=new src-address-list=ssh_stage2 action=add-src-to-address-list address-list=ssh_stage3 address-list-timeout=1m koment=" "disabled=nr

4. Nëse ai është këmbëngulës, atëherë mirë, do ta shtojmë në "listën tonë të zezë" "ssh_blacklist" për 10 ditë, sepse nuk ka rëndësi.

shtoni zinxhir=protokollin e hyrjes=tcp dst-port=22 connection-state=new src-address-list=ssh_stage3 action=add-src-to-address-list address-list=ssh_blacklist address-list-timeout=10d koment=" "disabled=nr

5. Dhe me këtë komandë ne i ndalojmë të gjithë nga lista "ssh_blacklist" pa asnjë dyshim (vini re se rregulli është joaktiv si parazgjedhje):

shto zinxhir=protokollin e hyrjes=tcp dst-port=22 src-address-list=ssh_blacklist action=drop comment="drop ssh brute forcers" disabled=po

Në realitet, kur bëra një skemë të tillë dhe u përpoqa të lidhem nga tastiera Linux me ip-në e jashtme të mikrotik-ut tim, tashmë në përpjekjen e dytë (dhe jo në 3 ose 4) ip-ja e "sulmuesit" u përfshi në listën "ssh_blacklist". ” lista. Unë nuk përdor ssh në Mikrotik, kështu që në rastin tim nuk është fatale, por nëse në të vërtetë lidheni nga distanca kështu, atëherë Në fillim mund të jetë një ide e mirë të mos aktivizoni rregullin e ndalimit (disabled=po). Lërini të futen në listë, pa bërë pyetje. Llogaritni në praktikë sa herë duhet të lidheni me radhë përpara se të futeni në listën e ndalimit. Pas kontrolleve, aktivizoni rregullin e ndalimit sipas listës "ssh_blacklist"! Kërkoj ndjesë që komandat janë të gjata, por analizuesi e ha vijën e prapme, kështu që përfundon në një rresht.

Megjithatë, nuk duhet të mendoni se vetëm Mikrotik ka probleme sigurie, për të mos përmendur markat si TP-Link, etj. Është një çështje krejtësisht e ndryshme që jo të gjitha dobësitë janë të disponueshme publikisht dhe jo të gjitha kompanitë i rregullojnë shpejt problemet.

RouterOS 6.35.8 - Mohimi i shërbimit

Një cenueshmëri në grupin e rrjetit të MikroTik Version 6.38.5 i lëshuar 2017-03-09 mund të lejojë një sulmues të paautentikuar në distancë të shterojë të gjithë CPU-në e disponueshme përmes një vërshimi paketash TCP RST, duke parandaluar që ruteri i prekur të pranojë lidhje të reja TCP.

Nëse dëshironi të mësoni se si të konfiguroni MikroTik, ju sugjerojmë të kaloni. Më shumë informacion të detajuar Mund ta gjeni në fund të këtij botimi.

Thelbi i cenueshmërisë ROS 6.38.5 zbret në mundësinë e ngarkimit nga distanca të ruterit me paketat TCP RST (përmbytje), e cila përfshin përdorimin e burimeve të CPU deri në 100% dhe e bën të pamundur marrjen e mëtejshme të paketave, duke shkaktuar një mohim shërbimi. (DoS).

> Monitori i burimeve të sistemit i përdorur cpu: 100% cpu-used-per-cpu: 100% memorie e lirë: 8480 KiB

Sulmi kryhet në portin 8291, i cili përdoret nga Winbox. Për më tepër, vetë shfrytëzimi është i disponueshëm publikisht, situata përkeqësohet nga fakti se zbatimi i tij nuk kërkon vërtetim, d.m.th. di edhe hyrjen.

Metodat e mbrojtjes

Si masë e përkohshme, mund të ndryshoni portën Winbox nga 8291 në një jo standarde. Kjo mund të bëhet në seksionin nën IP - Shërbimet. Disavantazhi këtë metodëështë se nuk mbron në asnjë mënyrë nga skanimi i portit. Nga rruga, në Mikrotik në bazë Rregullat e firewall-it Nuk ka fare mbrojtje kundër skanimit të portit. Nëse hasni në një përdorues me përvojë, ndryshimi i portit nuk do ta ndalojë atë në asnjë mënyrë.

Mbrojtja më efektive do të jetë përdorimi i rregullave të Firewall-it, duke kufizuar aksesin në portin Winbox vetëm për IP-në e administratorit. Kjo mund të bëhet duke përdorur rregullin:

Filtri i murit të zjarrit IP shtoni zinxhir=veprim hyrës=pranoni protokollin=tcp src-adresa=ADMIN_IP dst-port=8291 koment=Lejo_Winbox

Ku ADMIN_IP duhet të zëvendësohet me IP-në tuaj. Në të njëjtën kohë, mos harroni të mohoni hyrjen në Winbox për të gjitha IP-të e tjera.

Për përdoruesit që përdorin ruterat Mikrotik në shtëpi, nuk ka asgjë për t'u shqetësuar, sepse rregullat bazë të murit të zjarrit ndalojnë hyrjen në Winbox nga WAN (Interneti). Por për të mëdhenjtë rrjetet e korporatave ose ofruesve, problemi është shumë më serioz, sepse veprimet e një dëmtuesi mund të çojnë në dështimin e rrjetit.

Derisa të rregullohet dobësia, nuk mbetet gjë tjetër për të bërë veçse të presim lëshimin e një përditësimi për RouterOS.

Statusi i përditësuar që nga 04/04/2014

Diskutimi për këtë cenueshmëri vazhdon në forumin zyrtar të mikrotik.

Përdoruesi un1x0d kreu një test shfrytëzimi në RB751, hEX lite dhe CHR (8x Xeon), si rezultat, të tre pajisjet u ngarkuan në 100%, gjë që çoi në dështimin e të gjitha shërbimeve të rrjetit. Për më tepër, siç vuri në dukje un1x0d, dobësia nuk varet nga porti dhe funksionon me porte të tjera.

Përdoruesi McSlash testoi cenueshmërinë në RB951, RB2011, hAp Lite dhe CCR1036 - shfrytëzimi funksionoi në të gjitha rastet. Asnjë rregull i murit të zjarrit nuk ndihmon. Mbështetja e Mikrotik ende nuk e ka pranuar cenueshmërinë. Ne vazhdojmë të monitorojmë zhvillimet.

Kursi video "Konfigurimi i pajisjeve MikroTik" (analog me MTCNA)

A po mësoni të punoni me MikroTik? Unë rekomandoj kursin video "". Kursi mbulon të gjitha temat nga kurrikula zyrtare e MTCNA dhe shumë materiale shtesë. Kursi kombinon një pjesë teorike dhe praktikë - vendosjen e një ruteri sipas specifikimeve teknike. Konsultimet për detyrat e kursit kryhen nga autori i saj, Dmitry Skoromnov. I përshtatshëm për njohjen e parë me pajisjet MikroTik, dhe për sistematizimin e njohurive për specialistë me përvojë.

Mikrotik - ruter, ruter, pikë aksesi.

Si të konfiguroni Mikrotik? Si ta mbroni Mikrotikun nga ndërhyrjet e armikut nga jashtë?
Fillestare Konfigurimi i Mikrotik- ruter (ruter). Mbrojtja fillestare e Mikrotik.

Për të mbrojtur ruterin tuaj Mikrotik ju duhet:
1. Ndryshoni fjalëkalimin e administratorit.
2. Çaktivizoni shërbimet e panevojshme dhe të papërdorura.
3. Aktivizo NAT
4. Konfiguroni Firewall - organizoni filtrimin dhe kalimin e paketave.

P.S. pas konfigurimit të komandës, R, - ruteri do të fshijë të gjitha cilësimet, por jo fjalëkalimet, mund të lidheni me të përmes WinBox përmes IP - 192.168.88.1

Cilësimet nga tastiera:
emri admin, fjalëkalimi bosh.
Nëse harroni fjalëkalimin tuaj, e vetmja gjë që do t'ju shpëtojë është një rivendosje e plotë - riinstalimi i ruterit!
Ndryshimi i fjalëkalimit:
> modifikoni fjalëkalimin e administratorit nga përdoruesi
Redaktori hapet, hyni Fjalëkalim i ri. Për të ruajtur dhe për të dalë, shtypni Ctrl+o (kontrolli dhe shkronja o në të njëjtën kohë)
Ju mund të shtoni një përdorues të ri, vetëm në rast:
>përdor add name=mkt password=12345 group=full

Le të shohim se çfarë ndërfaqesh ekzistojnë:
> printimi i ndërfaqes


0 X ;;; WAN
eter1 eter 1500 1600 1600
1 X ;;; LAN
eter2 eter 1500 1600 1600

Aktivizoni ato që ju nevojiten:
> ndërfaqja aktivizo 0
>ndërfaqja e aktivizuar 1
> printimi i ndërfaqes
Flamujt: D - dinamik, X - i paaftë, R - funksionon, S - skllav
# EMRI LLOJI MTU L2MTU MAX-L2MTU
0 R ;;; WAN
eter1 eter 1500 1600 1600
1 R ;;; LAN
eter2 eter 1500 1600 1600

Le të shohim IP-në:
> printimi i adresës ip
Për shembull, merrni parametrat e mëposhtëm:
Ofruesi (Internet) - 195.196.10.50
GW (portë) - 195.196.10.49
Serveri DNS - 195.196.11.10, 195.196.12,10
Rrjeti lokal (i brendshëm) - 192.168.18.0/24
Shtoni një ofrues IP:
> Adresa IP shtoni adresën=195.196.10.10/30 ndërfaqe=ether1
Shto lokale:
> Adresa IP shtoni adresën=192.168.18.0/24 ndërfaqe=ether2
Le të shohim se çfarë ndodhi:
> printimi i adresës ip
Shtoni një portë Provo:
> ip route add gateway=195.196.10.49
Le të shohim:
> printimi i rrugës ip

Shtoni DNS-në e ofruesit të Internetit:
> ip dns set servers=195.196.11.10,195.196.12,10 allow-remote-request=po

Aktivizo NAT (maskaradë):
> ip firewall nat add chain=srcnat action=masquerade out-interface=ether1
Pas këtyre cilësimeve, rrjeti i brendshëm do të ketë akses në internet.

Konfiguro Firewall, d.m.th. është e nevojshme të organizoni filtrimin e paketave (zinxhirët e hyrjes), dhe natyrisht, në mënyrë që pas mbrojtjes rrjeti juaj të funksionojë - për të organizuar kalimin e paketave - këto janë zinxhirë përpara:

P.S Së pari, kaloni përmes WinBox - IP -> Firewall -> Porta e Shërbimit - çaktivizoni gjithçka Çaktivizoni, lini atë që është e nevojshme, domethënë në rastin tonë pptp (server VPN) dhe nëse dëshironi të përdorni FTP të integruar - ftp

Shtimi i rregullave:
ip firewall filter add chain=input connection-state=invalid action=drop comment="Ho lidhjet e pavlefshme"
Filtri i murit të zjarrit ip shtoni zinxhir=input lidhje-state=veprim i vendosur=pranoni koment=”Lejo lidhjet e krijuara”
ip firewall filter add chain=input protocol=udp action=prano koment="Lejo UDP"
ip firewall filter add chain=input protocol=icmp action=pranoj koment="Lejo ICMP"
ip firewall filter add chain=input src-address=192.168.0.0/24 action=prano koment=”Lejo hyrjen nga rrjeti lokal”
Dy rregullat e ardhshme janë nëse doni të konfiguroni aksesin përmes Mikrotik tuaj në rrjetin tuaj të brendshëm nëpërmjet VPN (server pptp)
I pari hap portin 1723, i dyti lejon protokollin 47 (GRE).
ip firewall filter add chain=input action=prano protokol=tcp dst-port=1723 comment=”Lejo qasjen në VPN”
ip firewall filter add chain=input action=prano protokol=gre comment=”Nëse keni një VPN (server pptp)”
Rregulli i mëposhtëm ju lejon të lidheni me Mikrotik tuaj nëpërmjet WinBox (porta e parazgjedhur 8291)
P.S Natyrisht, duhet të konfiguroni IP-në “IP Service LIST” -> Services -> IP Service List, klikoni në linjën winbox, do të hapet dritarja e redaktimit të të dhënave -> ndryshoni IP-në në atë nga e cila do të lidheni, e njëjta gjë duhet bërë me SSH dhe WWW, çaktivizoni të gjitha shërbimet e tjera - çaktivizoni. (ip_adresa_allow - IP-ja juaj)
ip firewall filter add chain=input action=prano protokol=tcp src-address=ip_address_allow dst-port=8291 comment=”Lejo hyrjen mbi WinBox”
ip firewall filter add chain=input action=accept protocol=tcp src-address=ip_address_allow dst-port=22 comment="Lejo hyrjen mbi SSH"
ip firewall filter add chain=input action=accept protocol=tcp src-address=ip_address_allow dst-port=80 comment="Lejo hyrjen mbi WWW"
Nëse dëshironi të përdorni FTP-në e integruar:
ip firewall filter add chain=input action=pranoj protokollin=tcp src-address=ip_address_allow dst-port=21 comment=”Lejo qasjen në FTP”
Ne presim gjithçka tjetër:
ip firewall filter add chain=input action=drop comment="Hidhi refuzo të gjitha të tjerat"

Për të mbrojtur rrjetin tuaj, duhet të inspektoni të gjithë trafikun që kalon
ruter dhe bllokoni ato të padëshiruara.

ip firewall filter add chain=forward protocol=tcp connection-state=invalid action=drop comment=”Hiq lidhjet e pavlefshme”
Filtri i murit të zjarrit ip add chain=forward connection-state=veprim i vendosur=pranoni koment=”Lejo lidhjet e krijuara tashmë”
ip firewall filter add chain=forward connection-state=related action=prano koment=”Lejo lidhjet e lidhura”
Për çdo rast, ne lejojmë kalimin e protokollit GRE:
ip firewall filter add chain=forward protocol=gre action=pranoj koment="Lejo GRE"
Nëse keni një server VPN, lejoni portin 3389 të ekzekutojë RDP (Desktop në distancë).
ip firewall filter add chain=forward protocol=tcp dst-port=3389 action=pranoje koment=”Lejo 3389″

Ne bllokojmë adresat IP të rrjeteve të brendshme.
ip firewall filter add chain=forward src-address=0.0.0.0/8 action=drop
ip firewall filter add chain=forward dst-address=0.0.0.0/8 action=drop
ip firewall filter add chain=forward src-address=127.0.0.0/8 action=drop
ip firewall filter add chain=forward dst-address=127.0.0.0/8 action=drop
ip firewall filter add chain=forward src-address=224.0.0.0/3 action=drop
ip firewall filter add chain=forward dst-address=224.0.0.0/3 action=drop

Ose:
ip firewall filter add chain forward protocol=udp action=pranoj koment="Lejo UDP"
ip firewall filter add chain forward protocol=icmp action=pranoj koment="Lejo ICMP Ping"
Ose:
Për trafikun icmp, udp dhe tcp, ne do të krijojmë zinxhirë ku do të hedhim pako të padëshiruara:
Le të krijojmë një tranzicion në zinxhirë të rinj
ip firewall filter add chain=forward protocol=tcp action=jump jump-target=tcp
ip firewall filter add chain=forward protocol=udp action=jump jump-target=udp
ip firewall filter add chain=forward protocol=icmp action=jump jump-target=icmp

Le të krijojmë rregulla tcp për zinxhirin tcp dhe të mohojmë disa porte:
ip firewall filter add chain=tcp protocol=tcp dst-port=69 action=drop comment=”Mohoni TFTP”
ip firewall filter add chain=tcp protocol=tcp dst-port=111 action=drop comment=”Mohoni RPC portmapper”
ip firewall filter add chain=tcp protocol=tcp dst-port=135 action=drop comment=”Mohoni RPC portmapper”
ip firewall filter add chain=tcp protocol=tcp dst-port=137-139 action=drop comment=”Mohoni NBT”
ip firewall filter add chain=tcp protocol=tcp dst-port=445 action=drop comment=”Deny Cifs”
ip firewall filter add chain=tcp protocol=tcp dst-port=2049 action=drop comment=”Deny NFS”
ip firewall filter add chain=tcp protocol=tcp dst-port=12345-12346 action=drop comment=”Moho NetBus”
ip firewall filter add chain=tcp protocol=tcp dst-port=20034 action=drop comment=”Deny NetBus”
ip firewall filter add chain=tcp protocol=tcp dst-port=3133 action=drop comment=”Mohoni BackOriffice”
ip firewall filter add chain=tcp protocol=tcp dst-port=67-68 action=drop comment=”Deny DHCP”

Le të çaktivizojmë portat udp për zinxhirin udp:
ip firewall filter add chain=udp protocol=udp dst-port=69 action=drop comment=”Mohoni TFTP”
ip firewall filter add chain=udp protocol=udp dst-port=111 action=drop comment=”Mohoni PRC portmapper”
ip firewall filter add chain=udp protocol=udp dst-port=135 action=drop comment=”Mohoni portmapper PRC”
ip firewall filter add chain=udp protocol=udp dst-port=137-139 action=drop comment=”Deny NBT”
ip firewall filter add chain=udp protocol=udp dst-port=2049 action=drop comment=”Moho NFS”
ip firewall filter add chain=udp protocol=udp dst-port=3133 action=drop comment=”Mohoni BackOriffice”

Le të lejojmë vetëm kodet e nevojshme icmp për zinxhirin icmp:
ip firewall filter add chain=icmp protocol=icmp icmp-options=0:0 action=pranoj koment=»Hiq lidhjet e pavlefshme»
Filtri i murit të zjarrit ip shtoni zinxhir=icmp protokol=icmp icmp-options=3:0 veprim=pranoni komentin=”Thni lidhjet e krijuara”
ip firewall filter add chain=icmp protocol=icmp icmp-options=3:1 action=pranoj koment=»Lejo lidhjet e vendosura tashmë»
ip firewall filter add chain=icmp protocol=icmp icmp-options=4:0 action=prano koment=”Lejo shuarjen e burimit”
ip firewall filter add chain=icmp protocol=icmp icmp-options=8:0 action=prano koment=”Lejo kërkesën echo”
ip firewall filter add chain=icmp protocol=icmp icmp-options=11:0 action=pranoj koment="Lejo të kalojë kohën"
ip firewall filter add chain=icmp protocol=icmp icmp-options=12:0 action=prano koment=”Lejo parametrin keq”
ip firewall filter add chain=icmp action=drop comment=»mohoni të gjitha llojet e tjera»