Новичок в Mikrotik. Хороши ли мои правила фильтрации?

Yakovlev_Pavel · 10.Февраль.2026 14:48:22

Привет! Прохожу курс “Сети и VPN” на yodo.im и столкнулся с вопросом по настройкам Mikrotik. У меня есть маршрутизатор RB4011, и я настроил его для домашней сети с WireGuard. Вот мои правила фильтрации:

0 ;;; accept - established/related
chain=input action=accept connection-state=established,related in-interface=WAN log=no log-prefix=""
1 ;;; drop - invalid connections
chain=input action=drop connection-state=invalid in-interface=WAN log=no log-prefix=""
2 ;;; allow - WireGuard
chain=input action=accept protocol=udp in-interface=WAN dst-port=44515 log=no log-prefix=""
3 ;;; allow - WireGuard traffic
chain=input action=accept src-address=10.0.100.0/24 log=no log-prefix=""
4 ;;; allow limited pings
chain=input action=accept protocol=icmp in-interface=WAN limit=50/5s,2:packet log=no log-prefix=""
5 ;;; Drop winbox log PC Broadcast
chain=input action=drop protocol=udp src-address=10.0.10.250 dst-address=255.255.255.255 log=no log-prefix=""
6 ;;; Drop vlan_20 ping mgmt
chain=input action=drop protocol=icmp src-address=10.0.20.0/24 dst-address=10.0.0.0/24 log=no log-prefix=""
7 ;;; Drop vlan_20 ping vlan_10
chain=input action=drop protocol=icmp src-address=10.0.20.0/24 dst-address=10.0.10.0/24 log=no log-prefix=""
8 ;;; Drop vlan_20 to mgmt
chain=forward action=drop src-address=10.0.20.0/24 dst-address=10.0.0.0/24 log=no log-prefix=""
9 ;;; Drop vlan_20 to vlan_10
chain=forward action=drop src-address=10.0.20.0/24 dst-address=10.0.10.0/24 log=no log-prefix=""
10 ;;; drop - excess pings
chain=input action=drop protocol=icmp in-interface=WAN log=no log-prefix=""
11 ;;; log - everything else
chain=input action=log log=no log-prefix="DROP INPUT"
12 ;;; drop - everything else
chain=input action=drop in-interface=WAN log=no log-prefix=""

Все ли в порядке с этими правилами? Есть ли что-то, что я должен изменить или улучшить? Спасибо заранее!

Yakovlev_Pavel · 10.Февраль.2026 14:48:46

Привет!

Слушай, я тут заморочился с фильтрацией на Mikrotik, решил следовать твоим правилам, которые ты мне подсказал, но что-то пошло не так.

Я настроил параметры, как ты и рекомендовал, но вот что произошло:

Трафик на определённые порты не блокировался. Я думал, что все будет четко фильтроваться, а оно как-то все равно проходит.
Логи вообще не писались. Я ждал, что хоть что-то в логах появится, чтобы понять, что не так, но там тишина, как в пустом мешке. Не знаю, как его заставить что-то записывать.
Проверка правил через Winbox тоже не помогла — все выглядело правильно, но тесты по факту показывали, что правила не работают. Как будто я их и не выставлял вообще на роутере.

После всех этих неудач, я в поиск влез и нашел вот такие курсы, которые реально помогли разобраться: yodo.im - курсы Mikrotik. Там какие-то нормальные фишки по настройке дают, прям в точку!

Вот такой у меня фейл, надеюсь, у тебя с правилами всё удобно работает. Если у тебя есть ещё идеи насчёт фильтрации, закинь, пожалуйста, буду рад услышать!

Давай, удачи!