/ip firewall filter
#Создадим правило, которое будет одбрасывать не нужные подключения
add action=reject chain=input src-address-list=drop_bad_pptp
#Создадим правила, отрабатывающие по контексту.
add action=add-dst-to-address-list address-list=drop_bad_pptp chain=output content="M=bad" dst-address-list=level2
add action=add-dst-to-address-list address-list=level2 address-list-timeout=1m chain=output content="M=bad" \
dst-address-list=level1
add action=add-dst-to-address-list address-list=level1 address-list-timeout=1m chain=output content="M=bad"

Настройка межсетевого экрана, это один из главных аспектов безопасности для корпоративной сети или частной (домашней) сети. Многие подключаясь к сети оператора используют роутеры, но не меняют штатного пароля, не обновляют программного обеспечения роутеров. Что приводит к вторжению злоумышленниками в личную жизнь, кража данных передаваемых по не защищенному каналу, подключение к вашим сетевым устройствам таким как камеры, и другие устройства, на которых аналогично не были установлены надежные пароли.

Зачастую для домашнего использования не обязательно устанавливать дорогой роутер, подойдут распространенные бюджетные модели Asus, TP-link, для более привередливых данные бренды имеют премиум модели. Для тех кому нужен функционал, по защите и настройкам можно рассмотреть такие модели как Mikrotik, DryTek, Zyxel.

Любой роутер из выше перечисленных имеет настройки безопасности, у одних моделей они более гибкие, а у других нет.

Данная статья не является инструкцией, в ней приведен пример решения задачи поставленной перед мной. Поставленная задача, заменить сервер (HP Proliant ML110) на базе Linux Fedora 14, на микротик 951Ui-2HnD который был в наличии. При этом сервер выполнял роли: firewall, shaper, vpn, dhcp, dns, apache, mysql. Службы mysql, apache, dns на другой сервер, а вот firewall, shaper, vpn оставить за микротиком.
Задача показалась по началу тривиальной, но в последствии превратилась в решение проблемы. Что произошло. На микротике пришлось написать 90 правил файрвола, 90 правил шейпера, которые выглядели примерно вот так:

chain=forward action=accept src-address=192.168.1.101 dst-address=0.0.0.0/0 src-mac-address=00:00:1C:D8:23:D4 log=no log-prefix=""

name="192.168.10.45" target=192.168.1.101/32 parent=none packet-marks="" priority=8/8 queue=default-small/default-small limit-at=0/0 max-limit=10M/10M burst-limit=0/0 burst-threshold=0/0 

Все бы хорошо, если бы правил было бы не много. При таком кол-ве правил, микротик чувствовал себя крайне плохо. Загрузка ЦПУ 100% постоянно, а это губительно.