Mikrotik Firewall: IP ve Port Yasaklama

Bu yazıda RouterOS firewall modülü ile belirli IP adreslerini ve portları nasıl engelleyeceğinizi, address-list özelliğinin neden hayat kurtarıcı olduğunu ve raw table'ın ne zaman tercih edileceğini göreceğiz.

Zincirler

• input: router'a giren paketler (SSH, winbox vb.).
• forward: router üzerinden geçen paketler (LAN ↔ WAN).
• output: router'dan çıkan paketler (router'ın kendi trafiği).

1) Tek Bir IP'yi Yasaklama

/ip firewall filter
add chain=forward src-address=5.6.7.8 action=drop \
    comment="PROBLEM-IP — bant sömürüyor"

2) address-list ile Çoklu IP

/ip firewall address-list
add list=blocked address=1.2.3.4
add list=blocked address=45.67.89.0/24
add list=blocked address=tr.banned-domains.net  ; DNS üzerinden resolve edilir

/ip firewall filter
add chain=forward src-address-list=blocked action=drop comment="BAN-LIST"
add chain=forward dst-address-list=blocked action=drop comment="BAN-LIST-OUT"

3) Port Yasaklama

/ip firewall filter
add chain=forward protocol=tcp dst-port=25 action=drop comment="SMTP out blocked"
add chain=forward protocol=udp dst-port=5060 action=drop comment="SIP scan block"

4) raw Table — CPU Dostu

raw kuralı connection tracking'den önce çalışır; DDoS / tarayıcı trafiği için CPU'ya ekstra yük bindirmeden drop yapar.

/ip firewall raw
add chain=prerouting src-address-list=blocked action=drop

5) Otomatik Ban — Port Knocking

SSH / winbox brute-force girişlerinde IP'yi 24 saat otomatik bloklamak için:

/ip firewall filter
add chain=input protocol=tcp dst-port=22,8291 src-address-list=ssh-stage3 \
    action=add-src-to-address-list address-list=ssh-blacklist \
    address-list-timeout=1d comment="SSH brute-force ban"

Best Practices

1. Default drop: input zincirinin son kuralı her zaman action=drop.
2. Kurallar sıralıdır — yukarıdaki kural uyarsa alttakiler çalışmaz.
3. Her kurala comment yazın; 6 ay sonra neden eklediğinizi unutursunuz.
4. /ip firewall connection print ile aktif bağlantıları izleyin.