Firewall MikroTik: Boas Práticas para Pequenas Empresas

O firewall do RouterOS é um dos mais flexíveis do mercado — e por isso também um dos mais fáceis de configurar errado. Muitas instalações em pequenas empresas têm regras contraditórias, permissões mais amplas do que o necessário e até regras que nunca chegam a ser processadas por estarem na posição errada na lista.

Neste artigo, você vai entender a lógica das chains do RouterOS e ver um conjunto de regras sólido para proteger sua rede corporativa.

Entendendo as chains do firewall RouterOS

O firewall do MikroTik processa pacotes em três chains principais — e entender qual se aplica a cada situação é fundamental:

Erro mais comum: criar todas as regras na chain input quando o objetivo é controlar o tráfego dos usuários da rede — que pertence à chain forward.

Regras básicas de INPUT (protegendo o roteador)

# 1. Aceitar conexões já estabelecidas (performance)
/ip firewall filter add chain=input \
  connection-state=established,related \
  action=accept comment="Estado: established/related"

# 2. Dropar pacotes inválidos
/ip firewall filter add chain=input \
  connection-state=invalid \
  action=drop comment="Estado: inválido"

# 3. Aceitar ICMP (ping ao roteador)
/ip firewall filter add chain=input \
  protocol=icmp \
  action=accept comment="ICMP"

# 4. Aceitar administração somente da LAN
/ip firewall filter add chain=input \
  src-address=192.168.1.0/24 \
  action=accept comment="Admin LAN"

# 5. Bloquear todo o resto na INPUT
/ip firewall filter add chain=input \
  action=drop comment="Drop INPUT padrão"

Regras de FORWARD (protegendo os usuários)

# Aceitar estado established/related (essencial para performance)
/ip firewall filter add chain=forward \
  connection-state=established,related \
  action=accept

# Dropar inválidos no forward
/ip firewall filter add chain=forward \
  connection-state=invalid \
  action=drop

# Bloquear acesso da internet para a LAN (exceto conexões iniciadas pela LAN)
/ip firewall filter add chain=forward \
  in-interface=ether1 \
  connection-state=new \
  action=drop comment="Bloquear nova conexão WAN→LAN"

Separar redes de visitantes da rede corporativa

Um dos erros mais comuns em PMEs é conectar clientes, visitantes e funcionários na mesma rede. Se um visitante trouxer um notebook com malware, toda a rede fica exposta. A regra abaixo impede que dispositivos na VLAN de visitantes acessem a rede interna:

# Bloquear tráfego da VLAN visitantes para a LAN corporativa
/ip firewall filter add chain=forward \
  src-address=192.168.10.0/24 \
  dst-address=192.168.1.0/24 \
  action=drop \
  comment="Visitantes não acessam LAN corporativa"

Proteção contra port scanning

# Detectar e bloquear scans de porta comuns
/ip firewall filter add chain=input \
  protocol=tcp \
  psd=21,3s,3,1 \
  action=add-src-to-address-list \
  address-list=port-scanners \
  address-list-timeout=24h \
  comment="Detectar port scan"

/ip firewall filter add chain=input \
  src-address-list=port-scanners \
  action=drop \
  comment="Bloquear port scanners"

A ordem das regras importa muito

O RouterOS processa as regras de firewall em sequência, de cima para baixo, e para na primeira que corresponder ao pacote. Isso significa que:

• Regras de accept para established/related devem estar no topo — processam a maioria dos pacotes com mínimo custo
• Regras de drop genéricas devem estar no final
• Uma regra mais específica depois de uma mais genérica que faz accept nunca será processada

Como o AI Guardian do Mikrosinc ajuda

Auditar manualmente dezenas de regras de firewall em múltiplos roteadores é trabalhoso e propenso a erros humanos. O AI Guardian do Mikrosinc conecta ao roteador, lê todas as regras de firewall e executa uma análise completa:

• Detecta regras sem efeito (shadow rules — cobertas por regra anterior)
• Identifica permissões excessivamente abertas
• Aponta ausência de regras críticas de proteção
• Atribui um score de segurança de 0 a 100
• Sugere correções com preview do diff antes de aplicar