APNICにMikrotik RouterOSに関する記事が来ていた。

最近はMikrotikの情報収集に中々時間が取れていません。が、合間合間に確認しているとどうやらゲスト記事ながらもAPNICにMikrotik RouterOSについて取り上げられている記事がありました。

RouterOSをISPのために使用している人向けの記事のようですが、RouterOSのフィルタリングの知識やベースとなっているLinux kernelの知識についても理解が深められるかもしれません。

該当記事

How to: Edge router and BNG optimization | APNIC Blog
Best practice implementation guide for ISPs using MikroTik RouterOS to provide access via PPPoE or MikroTik for their edge/core routers.

守るべき最低限のセキュリティ設定

Securing your router - RouterOS - MikroTik Documentation
  • Upgrade RouterOS to the latest long-term release
  • Upgrade the firmware afterOS
  • Make use of Reverse Path Filtering (slightly different from Unicast Reverse Path Forwarding) that is found in IP>Settings>rp-filter
    • Use loose mode on edge router and/or wherever asymmetric or policy routing takes place (always use loose mode on edge routers or wherever AS termination takes place)
    • Use strict mode on BNG and/or wherever symmetric routing take place
  • Make use of interface lists inside Interfaces>Interface List on all routers. Use WAN for all public interface/outgoing and LAN for all local interfaces/customer-facing side, remembering to include dynamic interfaces for LAN on BNG to account for all PPPoE users
  • Disable connection tracking on the edge router with /ip firewall connection tracking set enabled=no
  • Enable loose TCP tracking on all routers including BNG with /ip firewall connection tracking loose-tcp-tracking=yes
  • Use the connection_tracking timeout values shown in Figure 2 on all routers

Firewall設定

記事中のFirewall and Security を参照することで、最低限のFirewall設定が投入できるのでは無いかと追います。各パラメータについて「Firewall explanation」を確認してください。

タイトルとURLをコピーしました