Firewall instellen via WebFig voor je MikroTik-router

Stap 1: Toegang tot WebFig

1. Open je browser en ga naar het IP-adres van je MikroTik-router. Het standaard IP-adres is meestal 192.168.88.1 (voor LAN).
2. Log in met je gebruikersnaam en wachtwoord:
   • Default gebruikersnaam: admin
   • Default wachtwoord: (leeg, tenzij eerder aangepast).

Stap 2: WAN- en LAN-interfaces identificeren

Voordat je firewallregels instelt, moet je bepalen welke interface je WAN is (verbonden met je internetprovider) en welke je LAN is (verbonden met je interne netwerk).

1. Ga naar Interfaces in het linkermenu.
   • WAN-interface: Dit is de interface die een IP-adres ontvangt van je internetprovider of PPPoE gebruikt. Kijk bij RX en TX traffic om actieve inkomende en uitgaande pakketten te identificeren.
   • LAN-interface: Dit is de interface die verbinding maakt met je lokale apparaten en vaak een IP-adres in een privébereik heeft (bijv. 192.168.x.x).

Optioneel:

• Voor DHCP-klanten: Ga naar IP → DHCP Client.
• Voor PPPoE-klanten: Ga naar Interface → PPP → PPPoE Client.

Stap 3: NAT instellen (Masquerading)

Om apparaten in je LAN toegang tot internet te geven, stel je NAT-masquerading in:

1. Ga naar IP → Firewall → NAT.
2. Klik op + om een nieuwe regel toe te voegen.
   
3. Vul de volgende velden in:
   • Chain: srcnat
   • Action: masquerade
   • Out Interface: Kies je WAN-interface (bijv. ether1).
     
4. Klik op Apply en OK.

Stap 4: Input Chain configureren (router beschermen)

De Input Chain regelt verkeer dat direct gericht is op de router zelf, zoals DNS, WinBox en SSH.

Regel 1: Sta bestaande en gerelateerde verbindingen toe

1. Ga naar IP → Firewall → Filter Rules.
2. Klik op + om een nieuwe regel toe te voegen.
   
3. Vul de volgende velden in:
   • Chain: input
   • Connection State: established, related
   • Action: accept
4. Klik op Apply en OK.
   

Regel 2: Sta lokale toegang toe vanaf LAN

1. Voeg een nieuwe regel toe via +.
2. Vul de volgende velden in:
   • Chain: input
   • In Interface: Selecteer je LAN-interface (bijv. ether2).
   • Action: accept
3. Klik op Apply en OK.
   

Regel 3: Blokkeer externe toegang vanaf WAN

1. Voeg nog een regel toe.
2. Vul de volgende velden in:
   • Chain: input
   • In Interface: Selecteer je WAN-interface (bijv. ether1).
   • Action: drop
3. Klik op Apply en OK.
   

Regel 4: Blokkeer alle overige toegang

1. Voeg een laatste catch-all regel toe.
2. Vul de volgende velden in:
   • Chain: input
   • Action: drop
3. Klik op Apply en OK.
   

Stap 5: Forward Chain configureren (LAN naar WAN verkeer beveiligen)

De Forward Chain regelt verkeer dat door de router heen gaat, zoals van LAN naar WAN.

Regel 1: Sta bestaande en gerelateerde verbindingen toe

1. Ga naar IP → Firewall → Filter Rules en voeg een nieuwe regel toe via +.
2. Vul de velden in:
   • Chain: forward
   • Connection State: established, related
   • Action: accept
3. Klik op Apply en OK.
   

Regel 2: Blokkeer ongeldige verbindingen

1. Voeg een nieuwe regel toe.
2. Vul de velden in:
   • Chain: forward
   • Connection State: invalid
   • Action: drop
3. Klik op Apply en OK.

Regel 3: Sta LAN-verkeer naar internet toe

1. Voeg een nieuwe regel toe.
2. Vul de velden in:
   • Chain: forward
   • In Interface: Selecteer je LAN-interface (bijv. ether2).
   • Out Interface: Selecteer je WAN-interface (bijv. ether1).
   • Action: accept
3. Klik op Apply en OK.

Regel 4: Blokkeer alle overige verkeer

1. Voeg een laatste regel toe.
2. Vul de velden in:
   • Chain: forward
   • Action: drop
3. Klik op Apply en OK.

Stap 6: Test je firewall

1. Ga naar IP → Firewall → Filter Rules en controleer of je regels correct staan ingesteld.
2. Test dat:
   • LAN-apparaten toegang hebben tot internet.
   • De router niet vanaf de WAN toegankelijk is.
3. Gebruik Tools → Ping binnen WebFig om connectiviteit te testen.