APNICにMikrotik RouterOSに関する記事が来ていた。


最近はMikrotikの情報収集に中々時間が取れていません。が、合間合間に確認しているとどうやらゲスト記事ながらもAPNICにMikrotik RouterOSについて取り上げられている記事がありました。

RouterOSをISPのために使用している人向けの記事のようですが、RouterOSのフィルタリングの知識やベースとなっているLinux kernelの知識についても理解が深められるかもしれません。




Securing your router - RouterOS - MikroTik Documentation
  • Upgrade RouterOS to the latest long-term release
  • Upgrade the firmware after OS
  • Make use of Reverse Path Filtering (slightly different from Unicast Reverse Path Forwarding) that is found in IP>Settings>rp-filter
    • Use loose mode on edge router and/or wherever asymmetric or policy routing takes place (always use loose mode on edge routers or wherever AS termination takes place)
    • Use strict mode on BNG and/or wherever symmetric routing take place
  • Make use of interface lists inside Interfaces>Interface List on all routers. Use WAN for all public interface/outgoing and LAN for all local interfaces/customer-facing side, remembering to include dynamic interfaces for LAN on BNG to account for all PPPoE users
  • Disable connection tracking on the edge router with /ip firewall connection tracking set enabled=no
  • Enable loose TCP tracking on all routers including BNG with /ip firewall connection tracking loose-tcp-tracking=yes
  • Use the connection_tracking timeout values shown in Figure 2 on all routers


記事中のFirewall and Security を参照することで、最低限のFirewall設定が投入できるのでは無いかと追います。各パラメータについて「Firewall explanation」を確認してください。