Содержание

Mikrotik: блокируем частные сети согласно RFC 6890

Курс «Настройка оборудования MikroTik»

Освоить MikroTik вы можете с помощью онлайн-курса «Настройка оборудования MikroTik». В курсе изучаются все темы из официальной программы MTCNA. Автор – официальный тренер MikroTik. Материал подходит и тем, кто уже давно работает с оборудованием MikroTik, и тем, кто еще не держал его в руках. В состав входят 162 видеоурока, 45 лабораторных работ, вопросы для самопроверки и конспект.
Узнать подробности

RFC 6890: https://tools.ietf.org/html/rfc6890

Предупреждение

Не стоит блокировать все подряд, необходимо понимать что ты делаешь!

IPv4

Список подсетей:

/ip firewall address-list
add address=127.0.0.0/8 comment="RFC 6890 Loopback" list=PrivateNetIPv4
add address=192.168.0.0/16 comment="RFC 6890 Private-Use" list=PrivateNetIPv4
add address=172.16.0.0/12 comment="RFC 6890 Private-Use" list=PrivateNetIPv4
add address=10.0.0.0/8 comment="RFC 6890 Private-Use" list=PrivateNetIPv4
add address=0.0.0.0/8 comment="RFC 6890 This host on this network" list=PrivateNetIPv4
add address=100.64.0.0/10 comment="RFC 6890 Shared Address Space" list=PrivateNetIPv4
add address=169.254.0.0/16 comment="RFC 6890 Link Local" list=PrivateNetIPv4
add address=192.0.0.0/24 comment="RFC 6890 IETF Protocol Assignments" list=PrivateNetIPv4
add address=192.0.0.0/29 comment="RFC 6890 DS-Lite" list=PrivateNetIPv4
add address=198.18.0.0/15 comment="RFC 6890 Benchmarking" list=PrivateNetIPv4
add address=198.51.100.0/24 comment="RFC 6890 Documentation (TEST-NET-2)" list=PrivateNetIPv4
add address=203.0.113.0/24 comment="RFC 6890 Documentation (TEST-NET-3)" list=PrivateNetIPv4
add address=224.0.0.0/4 comment="RFC 6890 Multicast" list=PrivateNetIPv4
add address=240.0.0.0/4 comment="RFC 6890 Reserved" list=PrivateNetIPv4

Блокировка (выбрать нужное):

/ip firewall filter
add chain=input action=drop src-address-list=PrivateNetIPv4 in-interface=ISP1 log=no log-prefix="PrivateNetIPv4" comment="PrivateNetIPv4"
add chain=forward action=drop src-address-list=PrivateNetIPv4 in-interface=ISP1 log=no log-prefix="PrivateNetIPv4" comment="PrivateNetIPv4"
add chain=output action=drop src-address-list=PrivateNetIPv4 out-interface=ISP1 log=no log-prefix="PrivateNetIPv4" comment="PrivateNetIPv4"

IPv6

Список:

/ipv6 firewall address-list
add address=::1/128 comment="RFC 6890 Loopback Address" list=PrivateNetIPv6
add address=::/128 comment="RFC 6890 Unspecified Address" list=PrivateNetIPv6
add address=64:ff9b::/96 comment="RFC 6890 IPv4-IPv6 Translat." list=PrivateNetIPv6
add address=::ffff:0.0.0.0/96 comment="RFC 6890 IPv4-mapped Address" list=PrivateNetIPv6
add address=100::/64 comment="RFC 6890 Discard-Only Address Block" list=PrivateNetIPv6
add address=2001::/23 comment="RFC 6890 IETF Protocol Assignments" list=PrivateNetIPv6
add address=2001::/32 comment="RFC 6890 TEREDO" list=PrivateNetIPv6
add address=2001:2::/48 comment="RFC 6890 Benchmarking" list=PrivateNetIPv6
add address=2001:db8::/32 comment="RFC 6890 Documentation" list=PrivateNetIPv6
add address=2001:10::/28 comment="RFC 6890 ORCHID" list=PrivateNetIPv6
add address=2002::/16 comment="RFC 6890 6to4" list=PrivateNetIPv6
add address=fc00::/7 comment="RFC 6890 Unique-Local" list=PrivateNetIPv6
add address=fe80::/10 comment="RFC 6890 Linked-Scoped Unicast" list=PrivateNetIPv6

Блокировка (выбрать нужное):

add chain=input action=drop src-address-list=NonPublicIPv6 in-interface=ISP1 log=no log-prefix="NonPublic IPv6" comment="PrivateNetIPv6"
add chain=output action=drop src-address-list=NonPublicIPv6 out-interface=ISP1 log=no log-prefix="NonPublic IPv6" comment="PrivateNetIPv6"
add chain=forward action=drop src-address-list=NonPublicIPv6 in-interface=ISP1 log=no log-prefix="NonPublic IPv6" comment="PrivateNetIPv6"