Настройка firewall (межсетевого экрана) на MikroTik с RouterOS 7 - задача, которая выглядит сложнее, чем есть. Большая часть домашней безопасности сводится к нескольким правилам в двух цепочках: закрыть доступ к роутеру снаружи и не пускать новые входящие подключения с WAN в локальную сеть. Звучит просто, но без понимания логики легко или заблокировать себе доступ, или оставить дыру.
В этой статье - минимальный рабочий набор правил firewall для MikroTik на 2026 год. Разберём, что делает DefConf из коробки и когда на него нельзя полагаться, настроим фильтрацию для IPv4 и IPv6, проговорим нюансы с DNS и FastTrack. Всё с командами для терминала - можно просто вставить и получить рабочую конфигурацию.
Если базовый интернет и админка ещё не настроены - имеет смысл сначала разобраться с этим, а firewall оставить на потом. Подойдёт, например, этот стартовый сценарий.
1) Логика Firewall: input, forward и тот самый шаг, который всё ломает
Firewall на MikroTik начинается не с написания правил, а с понимания того, что именно вы защищаете. У роутера есть две ключевые цепочки, и их путают почти все, кто сталкивается с MikroTik впервые.
Первая - input. Это весь трафик, который направлен в сам роутер: попытки подключиться через WinBox или WebFig, обращения по SSH, запросы к DNS-серверу на роутере, SNMP и всё остальное, что работает на самом устройстве. Если оставить цепочку input открытой со стороны интернета, рано или поздно в логах появятся сканеры портов, переборы паролей и попытки нащупать уязвимые сервисы. Но и закрывать input вслепую нельзя - так вы рискуете отрезать себе доступ к управлению.
Вторая цепочка - forward. Она отвечает за транзитный трафик, который проходит сквозь роутер. Когда кто-то из домашней сети открывает сайт, скачивает обновления или смотрит видео на стриминговом сервисе - всё это идёт через forward. Здесь логика обычно простая: трафику из LAN в сторону WAN разрешаем выходить, а новые входящие соединения с WAN в LAN блокируем. Исключения делаются только сознательно - например, если нужен проброс порта для конкретного сервиса.
Коротко, чтобы не запутаться: input - это когда стучатся в сам роутер, а forward - когда роутер просто пропускает трафик между вашей сетью и интернетом.
Дальше подключается механизм, который делает правила компактными - connection tracking. Идея в том, чтобы сначала пропустить established, related (по сути, ответы на уже начатые вами соединения), а затем сразу отсечь invalid (мусорные, некорректные состояния). Такой порядок работает и быстрее, и надёжнее. И это не рекомендация из разряда «так принято» - порядок правил в цепочке напрямую определяет, что будет работать, а что нет.
Теперь про момент, на котором спотыкаются чаще всего. Правила в нашей конфигурации опираются на Interface Lists - именованные группы интерфейсов WAN и LAN. Если вы не создадите эти списки и не добавите в них соответствующие интерфейсы, условия в правилах просто не совпадут ни с чем. В WinBox это проявится как красные элементы и непонятное поведение. Поэтому самый первый шаг - не правила firewall, а назначение ролей интерфейсам. Пропустите его - и всё остальное потеряет смысл.
Мини-проверка: зайдите в Interfaces → Interface List → Members и убедитесь, что списки WAN и LAN не пустые, а в правилах firewall условия in-interface-list не подсвечиваются красным.
2) DefConf из коробки: оставлять, переписывать или не трогать
Часто можно услышать: «Зачем вообще что-то настраивать, если у MikroTik есть firewall по умолчанию?» И это правда - в заводской конфигурации RouterOS обычно присутствует набор правил с комментариями DefConf. По своей логике он напоминает базовый домашний вариант: разрешает established и related, отсекает мусор, закрывает доступ к роутеру со стороны WAN и в целом защищает локальную сеть.
Неприятности начинаются, когда DefConf по какой-то причине пропадает. Сценарии бывают разные: кто-то сбрасывает устройство в ноль и при запуске выбирает пустую конфигурацию; кто-то импортирует настройки с другой модели, и правила не переносятся корректно; кто-то удаляет отдельные правила вручную, потому что «мешали», а через неделю уже не помнит, что именно было удалено. В любом из этих случаев вы оказываетесь не в ситуации «хочу подкрутить настройки», а в ситуации «нужно вернуть базовую безопасность с нуля».
Но даже если DefConf на месте, есть вторая причина разобраться в том, как устроен firewall. Почти наверняка в какой-то момент вам захочется что-то добавить: VPN, проброс порта, второй WAN-канал, гостевую сеть, отдельные ограничения для IoT-устройств. Без понимания разницы между input и forward любое такое изменение превращается в лотерею - может заработать, а может сломать то, что работало до этого.
Если DefConf у вас есть и всё устраивает - оставляйте, это нормальный вариант. Но одну вещь проверьте обязательно: откройте IP → Firewall → Filter Rules, посмотрите на цепочку input и убедитесь, что нет правила, разрешающего доступ к управлению роутером со стороны WAN. Управление должно быть доступно только из LAN или через VPN - для домашнего использования этого достаточно.
Если же DefConf отсутствует или его содержимое вызывает сомнения - проще не пытаться восстанавливать старое, а написать минимальный набор правил с нуля. Единственное условие: делайте это через Safe Mode и обязательно с предварительным бэкапом, чтобы вечер не превратился в многочасовой квест по восстановлению доступа к роутеру.
3) Пошаговая настройка: Interface Lists, Terminal, DNS и IPv6-минимум
Прежде чем менять что-либо в firewall, включите Safe Mode в WinBox. Это не «страховка для тех, кто не уверен в себе» - это штатный механизм RouterOS, который откатит изменения, если вы потеряете связь с роутером. Параллельно сделайте экспорт конфигурации и полный backup. Если что-то пойдёт не по плану, вы будете рады, что потратили на это лишнюю минуту.
Следующий шаг - создание Interface Lists. В WinBox нужно зайти в Interfaces → Interface List и создать два списка: WAN и LAN. После этого в разделе Interface List → Members добавляете интерфейс провайдера (обычно ether1) в список WAN, а bridge домашней сети - в список LAN. Повторю ещё раз, потому что это действительно важно: если пропустить этот шаг, все правила firewall, которые используют условие in-interface-list, просто не сработают. Они будут существовать, но ни с чем не совпадут.
Что касается командной строки - не стоит её бояться, даже если вы никогда не работали с терминалом. В WinBox есть встроенный New Terminal, куда можно вставить готовый блок команд целиком и нажать Enter. Для тех, кто настраивает firewall впервые, это зачастую проще и быстрее, чем вручную заполнять каждое поле в графическом интерфейсе, рискуя что-нибудь пропустить или перепутать.
Отдельно стоит сказать про DNS. В настройках роутера есть опция Allow Remote Requests, и она нужна для нормальной работы, когда роутер выступает DNS-резолвером для домашней сети - это стандартный сценарий. Проблема возникает, если DNS-резолвер по ошибке оказывается доступен со стороны интернета. Открытый резолвер - это не только утечка запросов, но и потенциальный участник DDoS-атак типа DNS amplification. Наше правило drop в цепочке input для WAN-интерфейса это предотвращает, но сам принцип полезно держать в голове: DNS на роутере должен обслуживать только локальную сеть, а не отвечать на запросы всего интернета.
И наконец, IPv6. Если вы им пользуетесь - закрывайте тем же минимальным набором правил, что и IPv4. Если точно знаете, что он вам не нужен - можно отключить. Но полностью игнорировать IPv6 в 2026 году уже не стоит. Провайдер вполне мог выдать вам IPv6-адресацию автоматически, и тогда складывается неприятная ситуация: вы старательно настроили фильтрацию для IPv4, а IPv6 при этом остался в значительно более мягком, незащищённом состоянии.
0) Бэкап
/export file=before-firewall
/system backup save name=before-firewall1) Списки интерфейсов WAN и LAN
/interface list add name=WAN
/interface list add name=LAN
# замените ether1 на ваш внешний интерфейс (например, pppoe-out1 при PPPoE-подключении)
/interface list member add list=WAN interface=ether1
/interface list member add list=LAN interface=bridge2) Firewall IPv4
/ip firewall filter
add chain=input action=accept connection-state=established,related comment="input: allow established,related"
add chain=input action=drop connection-state=invalid comment="input: drop invalid"
add chain=input action=accept in-interface-list=LAN comment="input: allow from LAN"
add chain=input action=drop in-interface-list=WAN comment="input: drop from WAN"
add chain=forward action=accept connection-state=established,related comment="forward: allow established,related"
add chain=forward action=drop connection-state=invalid comment="forward: drop invalid"
add chain=forward action=drop in-interface-list=WAN connection-state=new comment="forward: drop new from WAN"
add chain=forward action=accept in-interface-list=LAN out-interface-list=WAN comment="forward: allow LAN to WAN"
add chain=forward action=drop comment="forward: drop the rest"3) FastTrack (опционально)
Обратите внимание: последнее правило drop в цепочке input блокирует в том числе ICMP-запросы (ping) со стороны WAN. Это значит, что роутер перестанет пинговаться из интернета. С точки зрения безопасности это плюс. Но если провайдер при диагностике попросит «пингануть роутер» - не удивляйтесь, что ответа не будет. Это не поломка, а следствие настроенного firewall.
Если включили FastTrack, а потом начнёте настраивать очереди, QoS или сложные правила и увидите странности, первый быстрый тест - просто отключить FastTrack и проверить ещё раз.
/ip firewall filter
add chain=forward action=fasttrack-connection connection-state=established,related comment="forward: fasttrack established,related" place-before=14) Отключаем лишние сервисы управления
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set api disabled=yes
set api-ssl disabled=yes5) Firewall IPv6 (минимум)
/ipv6 firewall filter
add chain=input action=accept connection-state=established,related comment="v6 input: allow established,related"
add chain=input action=drop connection-state=invalid comment="v6 input: drop invalid"
add chain=input action=accept in-interface-list=LAN comment="v6 input: allow from LAN"
add chain=input action=drop in-interface-list=WAN comment="v6 input: drop from WAN"
add chain=forward action=accept connection-state=established,related comment="v6 forward: allow established,related"
add chain=forward action=drop connection-state=invalid comment="v6 forward: drop invalid"
add chain=forward action=drop in-interface-list=WAN connection-state=new comment="v6 forward: drop new from WAN"
add chain=forward action=accept in-interface-list=LAN out-interface-list=WAN comment="v6 forward: allow LAN to WAN"
add chain=forward action=drop comment="v6 forward: drop the rest"Важный нюанс: в IPv6 протокол ICMPv6 выполняет критически важные функции - через него работает Neighbor Discovery, без которого устройства в сети не смогут нормально обнаруживать друг друга. Наш базовый конфиг безопасен для домашнего использования, но если вы заметите странные задержки или проблемы с IPv6-связностью - это первое место, куда стоит смотреть. При необходимости можно добавить отдельное разрешающее правило для ICMPv6 перед финальным drop.
/ipv6 firewall filter
add chain=input action=accept protocol=icmpv6 comment="v6 input: allow ICMPv6 (ND, etc.)" place-before=4
6) Чеклист после настройки
- Из LAN вы заходите в роутер через WinBox и WebFig - доступ работает, ничего не отвалилось.
- С устройств в домашней сети открываются сайты, DNS-запросы проходят нормально.
- Со стороны WAN нет доступа ни к управлению роутером, ни к DNS-резолверу.
- Если у вас включён IPv6 - убедитесь, что правила для него тоже на месте.
- Если вы активировали FastTrack - учитывайте, что часть правил ниже по цепочке не увидит established/related трафик. Это становится важным, когда вы начнёте настраивать QoS или более сложную фильтрацию.
С такой конфигурацией роутер ведёт себя предсказуемо: сервисы не торчат в интернет, домашняя сеть закрыта от непрошенных входящих подключений, а все исходящие запросы из LAN продолжают работать как обычно. Это не абсолютная защита, но это крепкая база, от которой можно спокойно двигаться дальше - добавлять VPN, пробрасывать порты, сегментировать сеть - и при этом понимать, что происходит.
