MikroTik RouterOS, güçlü bir güvenlik duvarı (Firewall) sistemine sahiptir. IP, MAC ve port bazlı erişim kontrolleri, DDoS ve brute force saldırılarına karşı koruma, NAT güvenliği ve VPN ayarları gibi özellikleri destekler. Bu yazıda, MikroTik’in güvenlik özelliklerini en iyi şekilde nasıl yapılandıracağınızı adım adım ele alacağız.
1. MikroTik’te Firewall Mantığı
MikroTik güvenlik duvarı, aşağıdaki zincirleri (chains) kullanarak ağ trafiğini filtreler:
| Zincir (Chain) | Açıklama |
|---|---|
| Input | MikroTik yönlendiricisine gelen bağlantıları kontrol eder. |
| Forward | MikroTik üzerinden geçen (yerel ağdan WAN’a giden) trafiği kontrol eder. |
| Output | MikroTik’ten dışarıya gönderilen trafiği yönetir. |
📌 Genel Firewall Mantığı:
- Input zinciri → Yönlendiriciye gelen istekleri yönetir. (SSH, WinBox, WebFig erişimi vb.)
- Forward zinciri → Cihazların internete erişimini veya port yönlendirmelerini yönetir.
- Output zinciri → Yönlendiriciden dışarıya gönderilen trafiği yönetir.
🔥 Güvenlik politikası önerisi:
1️⃣ Gereksiz tüm trafiği engelle
2️⃣ Sadece belirli IP veya MAC adreslerine izin ver
3️⃣ DDoS ve brute force saldırılarına karşı önlem al
2. IP, MAC ve Port Bazlı Erişim Kısıtlamaları
Firewall kullanarak IP, MAC adresi veya port bazlı erişim kontrolleri oluşturabilirsiniz.
A. MikroTik Yönetici Paneline Sadece Belirli IP’lerden Erişim İzni Vermek
Eğer MikroTik yönlendiricinize sadece belirli IP’lerden erişim sağlamak istiyorsanız, şu kuralları ekleyin:
WinBox veya WebFig ile Ayarlama:
- IP > Firewall > Filter Rules sekmesine gidin.
- Add (+) butonuna basın.
- Chain:
input - Protocol:
tcp - Dst. Port:
8291(WinBox portu) - Src. Address:
192.168.1.10(Erişim izni verilecek IP adresi) - Action:
accept - Apply ve OK butonlarına basarak kaydedin.
📌 Komut Satırı ile Aynı Ayarı Yapmak İçin:
/ip firewall filter add chain=input src-address=192.168.1.10 protocol=tcp dst-port=8291 action=accept
/ip firewall filter add chain=input protocol=tcp dst-port=8291 action=drop
Son satırdaki drop kuralı, diğer IP adreslerinden gelen WinBox bağlantılarını engeller.
B. MikroTik’e SSH ve Telnet Erişimini Engelleme
Eğer yönlendiriciye dışarıdan SSH veya Telnet ile bağlanılmasını istemiyorsanız:
/ip firewall filter add chain=input protocol=tcp dst-port=22 action=drop
/ip firewall filter add chain=input protocol=tcp dst-port=23 action=drop
Bu komutlar, Tüm SSH (22) ve Telnet (23) bağlantılarını engeller.
C. Belirli MAC Adreslerine Erişim Kısıtlaması
Eğer sadece belirli MAC adreslerine internet erişimi vermek istiyorsanız:
/interface wireless access-list add mac-address=AA:BB:CC:DD:EE:FF action=accept
/interface wireless access-list add action=reject
Bu ayar, yalnızca belirttiğiniz MAC adresinin WiFi’ye bağlanmasını sağlar.
3. DDoS ve Brute Force Saldırılarını Engelleme
MikroTik yönlendiricileri, DDoS ve brute force saldırılarına karşı korunmak için bazı temel firewall kurallarına ihtiyaç duyar.
A. SSH ve WinBox Brute Force Engelleme
Brute force saldırılarını önlemek için belirli bir sürede çok fazla bağlantı girişimi yapan IP’leri engelleyebilirsiniz.
/ip firewall filter add chain=input protocol=tcp dst-port=22 connection-state=new \
src-address-list=ssh_blacklist action=drop
/ip firewall filter add chain=input protocol=tcp dst-port=22 connection-state=new \
limit=2,5:packet action=add-src-to-address-list address-list=ssh_blacklist \
address-list-timeout=1h
🔹 Bu kural, 5 dakika içinde 2’den fazla başarısız giriş yapan IP’leri 1 saat boyunca engeller.
B. DDoS Saldırılarına Karşı Koruma
Eğer büyük ölçekli bir DDoS saldırısıyla karşı karşıyaysanız, paket başına saniye limitleri koyabilirsiniz:
/ip firewall filter add chain=input connection-state=new protocol=tcp \
src-address-list=blacklist action=drop
/ip firewall filter add chain=input connection-state=new protocol=tcp \
limit=50,5:packet action=add-src-to-address-list address-list=blacklist \
address-list-timeout=10m
🔹 Bu kural, aynı IP’den gelen bağlantı isteklerini saniyede 50 ile sınırlar.
4. NAT ve VPN Güvenlik Ayarları
MikroTik’te NAT (Masquerade) ve VPN kullanıyorsanız, güvenlik ayarlarını optimize etmelisiniz.
A. NAT (Masquerade) Güvenliği
Genellikle Masquerade kuralı şu şekilde tanımlanır:
/ip firewall nat add chain=srcnat out-interface=ether1 action=masquerade
Bu kuralın sadece belirli iç ağlara uygulanması, gereksiz trafiği engelleyerek güvenliği artırır:
/ip firewall nat add chain=srcnat src-address=192.168.1.0/24 out-interface=ether1 action=masquerade
B. MikroTik VPN Güvenlik Ayarları
Eğer MikroTik üzerinde PPTP, L2TP veya IPsec VPN kullanıyorsanız, şu güvenlik önlemlerini alabilirsiniz:
🔹 Belirli IP’lerden VPN bağlantısına izin vermek:
/ip firewall filter add chain=input src-address=192.168.1.100 protocol=tcp dst-port=1723 action=accept
/ip firewall filter add chain=input protocol=tcp dst-port=1723 action=drop
🔹 Güvenli VPN Şifreleme Kullanımı:
- PPTP yerine L2TP/IPsec kullanın.
- SHA-256 ve AES-256 şifreleme tercih edin.
- Güçlü bir VPN şifresi belirleyin.
🔹 Tüm VPN isteklerini loglama:
/ip firewall filter add chain=input protocol=ipsec-esp action=log
Sonuç
MikroTik güvenlik duvarı kuralları, ağınızı saldırılara karşı korumak ve yetkisiz erişimi engellemek için kritik öneme sahiptir.
✅ IP, MAC ve Port Bazlı Erişim Kısıtlamaları
✅ Brute Force ve DDoS Engelleme
✅ NAT Güvenliği
✅ VPN Güvenlik Ayarları