🔒 Mikrotik firewall filter begrijpen en voorbeelden
De MikroTik firewall is veel krachtiger dan je op het eerste gezicht denkt. In deze blogpost zoom ik in op de basis van MikroTik firewall filter rules, het kloppende hart van je router beveiliging. Toch is dit slechts een onderdeel van alles wat de MikroTik firewall te bieden heeft. Denk aan extra functies als Mangle, NAT, Raw, Service Ports en zelfs Layer7 protocollen (al is die laatste verouderd en meestal niet meer aan te raden). Daarnaast leg ik uit hoe je Address Lists en Connections slim gebruikt in je filter rules. Zo bouw je stap voor stap een krachtige en overzichtelijke firewall.👉 Wil je meer weten over het echt veilig instellen van je MikroTik router? Lees dan mijn uitgebreide gids: MikroTik apparaat beveiligen.
🦺 Tip: Gebruik altijd Safe Mode in Winbox bij firewall aanpassingen!
Voordat je begint met het aanpassen van je MikroTik firewall filter, raad ik je sterk aan om Safe Mode in Winbox te activeren. Hiermee voorkom je dat je jezelf per ongeluk buitensluit van je router. Gaat er iets mis? Dan worden alle wijzigingen automatisch teruggedraaid zodra je de sessie afsluit of de verbinding verliest. Je activeert Safe Mode door bovenaan in Winbox op de Safe Mode-knop te klikken. Zie de rode pijl op de afbeelding hieronder:
MikroTik Safe Mode. Met Safe Mode werk je met een gerust hart en is experimenteren met firewall regels veel minder spannend!
Waarom Safe Mode gebruiken bij het aanpassen van firewall regels op je MikroTik?
Wanneer je begint aan het instellen of aanpassen van je MikroTik firewall filter, loop je altijd het risico dat je per ongeluk je eigen toegang tot de router blokkeert. Een foute regel kan ervoor zorgen dat je jezelf buitensluit. Daarom is het essentieel om veilig te werken.
❓ Wat doet Safe Mode op een MikroTik router?
Safe Mode is een ingebouwde veiligheidsfunctie op elke MikroTik router. Zodra je deze inschakelt in Winbox of via de CLI, kun je zonder risico je firewall regels, IP-instellingen of andere configuraties aanpassen.
🔄 Hoe werkt het?
- Vanaf het moment dat je Safe Mode inschakelt, worden alle wijzigingen die je aanbrengt tijdelijk bijgehouden.
- Alles werkt? Zet Safe Mode handmatig uit en je aanpassingen worden definitief opgeslagen.
- Gaat het mis — bijvoorbeeld doordat je jezelf buiten sluit? Safe Mode detecteert dat de sessie werd onderbroken en zet automatisch alle wijzigingen terug naar de situatie vóór je begon. Je blijft dus altijd toegang houden tot je router.
📋 Waarom Safe Mode altijd gebruiken bij firewall aanpassingen?
- Veiliger testen en experimenteren zonder stress.
- Geen risico om jezelf per ongeluk te blokkeren.
- Werkt automatisch: verlies je de verbinding of sluit je Winbox zonder Safe Mode uit te schakelen, dan worden alle niet bewaarde aanpassingen direct teruggedraaid.
⚠️ Belangrijk:
Safe Mode werkt alleen zolang je sessie actief is. Verbreek je de verbinding, dan is dat juist de bescherming: alles wordt ongedaan gemaakt!
🔢 Firewall regels worden van boven naar beneden verwerkt
Een belangrijk principe in de MikroTik firewall filter is de volgorde van de regels. De router doorloopt de lijst van boven naar beneden. Elk binnenkomend pakket wordt gecontroleerd op elke regel, één voor één.
🚦 Wat gebeurt er precies?
- Zodra een pakket overeenkomt met een regel, wordt de actie van die regel uitgevoerd (accepteren, droppen, loggen, enzovoort).
- Daarna stopt de verwerking voor dat specifieke pakket. Latere regels worden niet meer bekeken voor dat pakket.
💡 Let op:
De volgorde van de regels is dus essentieel. Een te brede of verkeerd geplaatste regel kan ervoor zorgen dat verkeer onterecht wordt geblokkeerd of toegelaten. Dit verklaart ook waarom het schrijven van universele firewall regels lastig is: elk netwerk is anders en vereist zijn eigen aanpak. Zie de screenshot hierboven: Je ziet dat de belangrijkste ‘accept’-regels en ‘drop’-regels netjes onder elkaar staan. Dankzij de volgorde kun je fijnmazig bepalen welk verkeer je toestaat en wat je wilt blokkeren.
Samengevat:
- ✅ Denk altijd goed na over de volgorde van je firewallregels.
- ✅ Test nieuwe regels in Safe Mode om jezelf niet buiten te sluiten.
- ✅ Pas je configuratie aan op de specifieke eisen van jouw netwerk!
Wil je dieper duiken in firewall best practices? Lees dan verder op mijn blogpost over MikroTik apparaat beveiligen.
🔐 MikroTik firewall: Stateful en Stateless filtering
De MikroTik firewall ondersteunt zowel stateful als stateless pakketfiltering. Dit betekent dat je zowel geavanceerde als eenvoudige regels kunt toepassen om het netwerkverkeer op je router te controleren.
🟩 Wat is stateful filtering?
Een stateful firewall houdt continu bij welke netwerkverbindingen actief zijn op je router. Denk hierbij aan een sessie tussen jouw pc en een webserver, of tussen twee netwerkapparaten. Zodra een verbinding is opgezet, onthoudt de firewall dit, zodat alleen bijbehorende pakketten worden doorgelaten. Dit verhoogt de veiligheid en efficiëntie: alleen verkeer dat bij een bestaande, toegestane sessie hoort, mag passeren.
🟧 Wat is stateless filtering?
Met stateless filtering inspecteert de firewall elk binnenkomend, uitgaand of doorgestuurd pakket afzonderlijk. Er wordt dus niet bijgehouden of dit pakket hoort bij een bestaande verbinding. Elk pakket wordt op zichzelf beoordeeld. Deze aanpak is simpeler, maar minder dynamisch. Het biedt wel een extra controlelaag, vooral voor specifieke, uitzonderlijke situaties.
💡 Waarom is dit belangrijk?
Door beide methoden te ondersteunen, kan de MikroTik firewall de datastroom vanaf, doorheen en naar je router grondig inspecteren. Hierdoor bepaal je zelf precies hoe streng en geavanceerd je netwerk beveiligd moet worden. Meer leren? Ben je nog niet vertrouwd met MikroTik routers? Bekijk dan zeker mijn blog “MikroTik router configureren” of bezoek mijn YouTube-kanaal voor stapsgewijze uitleg. Wil je jouw router extra veilig instellen? Lees dan mijn handleiding “MikroTik apparaat beveiligen”.
🔗 Connection Tracking: het hart van de MikroTik firewall
Een van de belangrijkste onderdelen van de MikroTik firewall is Connection Tracking. Maar wat betekent dat nu eigenlijk? Connection Tracking is het interne systeem dat alle netwerk verbindingen die door de router gaan, bijhoudt en analyseert. Dankzij deze techniek weet de firewall exact welke pakketten bij welke sessie horen, zodat je veel slimmer en efficiënter regels kunt toepassen.
Waarom is Connection Tracking zo belangrijk?
- Omdat de firewall zo kan bepalen of een pakket behoort tot een reeds bestaande, toegestane verbinding (stateful filtering).
- Daardoor kun je eenvoudig regels maken zoals “sta alleen inkomend verkeer toe dat hoort bij een bestaande verbinding” (accept established, related).
- Zo wordt het netwerk automatisch beschermd tegen ongewenst of onverwacht verkeer van buitenaf.
Hoe werkt Connection Tracking?
Zodra een apparaat in je netwerk bijvoorbeeld een website bezoekt, legt Connection Tracking vast:
- Wie is de bron (jouw pc).
- Wie is het doel (de webserver)
- Welke poorten en protocollen worden gebruikt. Alle bijbehorende pakketten worden dan als “established” beschouwd. Nieuwe verbindingen of afwijkend verkeer krijgt automatisch een ander label, zodat je deze eenvoudig kunt blokkeren of loggen met firewall regels.
Kortom:
Connection Tracking vormt het kloppende hart van de MikroTik firewall. Zonder deze functie zou het veel lastiger zijn om je netwerk slim én veilig te houden. Wil je geavanceerde firewall regels bouwen? Dan is inzicht in Connection Tracking absoluut noodzakelijk.
🔬 Dieper in de techniek: hoe werkt Connection Tracking op een MikroTik router?
Connection Tracking (stateful packet inspection) is het mechanisme waarmee de MikroTik router netwerkverbindingen volgt en onthoudt. Elke keer als een nieuw pakketje binnenkomt, kijkt Connection Tracking of het deel uitmaakt van een bestaande verbinding, of dat het een compleet nieuwe sessie opzet. Dit gebeurt op basis van IP-adressen, poorten, en het gebruikte protocol (bijvoorbeeld TCP, UDP, ICMP).
🔍Wat doet Connection Tracking precies?
- Nieuwe verbindingen herkennen: Wanneer een client bijvoorbeeld een website bezoekt, registreert Connection Tracking een “new” state voor deze verbinding.
- Verbindingen bijhouden: Zodra het eerste handshake pakket geaccepteerd is, wordt de state “established”. Alle bijhorende pakketten (antwoorden, vervolgverkeer) worden automatisch herkend als horend bij deze bestaande verbinding.
- Verbindingen beëindigen: Als de verbinding sluit, wordt deze weer verwijderd uit de connection tracking tabel.
ℹ️Waarom is dit belangrijk?
Zonder connection tracking is een firewall "stateless" en behandelt elk pakket afzonderlijk. Hierdoor kan je geen onderscheid maken tussen bijvoorbeeld een eerste verzoek en een antwoord. Met connection tracking kun je regels maken zoals “accepteer alleen inkomende pakketten als deze horen bij een bestaande verbinding” dat is de reden waarom stateful firewalls veel veiliger zijn.
Hoe zie je connection tracking in de praktijk?
Via Winbox of de CLI kun je live de connection tracking tabel bekijken:
/ip firewall connection print
Als je het bovenstaand commando hebt ingegeven zie je per verbinding:
- Bron- en doeladres
- Poorten
- Protocol
- State (NEW, ESTABLISHED, RELATED, INVALID)
🔍 Connection states uitgelegd
De MikroTik firewall herkent vier verschillende connection states voor elk netwerkpakket:
- 🟥 New (N): New: Een nieuw connectie verzoek.
- 🟩 Established (E): Een bestaande, goedgekeurde verbinding.
- 🟧 Related (R): Een verbinding die verband houdt met een bestaande sessie (vb. FTP-data, ICMP errors, voip/video).
- ⬛ Invalid: Een pakket dat niet thuishoort binnen de huidige verbinding, vaak geblokkeerd.
Uitleg bij het schema van Connection States
- 1️⃣ Eerste rij: Een nieuwe verbinding wordt opgezet (N) en wordt vervolgens een established (bestaande) verbinding (E). Typisch voorbeeld: je surft naar een website, je verbinding komt tot stand en blijft ‘established’ zolang de sessie duurt.
- 2️⃣ Tweede rij: Er komt een ‘invalid’ pakket toe (zwart blokje), dit pakket voldoet niet aan de verwachtingen en wordt daarom geweigerd (gedropt). Daarna wordt het volgende pakket opnieuw als ‘nieuw’ (N) gezien, en als alles goed is volgt daarna een established (E).
- 3️⃣ Derde rij: Opnieuw een nieuwe verbinding (N) die vervolgens ‘established’ (E) blijft. Dit illustreert een standaard connectie zonder onderbrekingen. Doch er is een related verbinding tot stand gebracht.
- 4️⃣ Vierde rij: Je ziet ‘related’ (R), dat betekent dat er een gerelateerde verbinding wordt gestart, bijvoorbeeld wanneer je op Facebook zit (E) en een video afspeelt (de video stream wordt als ‘related’ verbinding opgezet).
- 5️⃣ Vijfde rij: Er worden opnieuw een nieuwe verbinding opgezet (N), established (E) en invalid pakketten (zwart) gedetecteerd, wat kan wijzen op verbindingsproblemen of pogingen tot misbruik.
In de bovenstaande screenshot zie je de verschillende connection states die beschikbaar zijn in de MikroTik firewall configuratie. Ze helpen bij het beheren van de status van netwerkverbindingen en bepalen hoe verkeer wordt behandeld op basis van de toestand van de verbinding. Laten we hierover een afbeelding bekijken hoe pakketten worden beoordeeld als deze de firewall bereiken.
🔵 NEW en 🟢 ESTABLISHED Connection States uitgelegd
New:
Een pakket krijgt de status NEW wanneer het het eerste pakket is van een nieuwe verbinding. Zodra de MikroTik firewall een dergelijk pakket detecteert, zal deze het herkennen als het begin van een nieuwe sessie tussen twee apparaten. 📦 Voorbeeld: Je klikt op een website, het allereerste TCP SYN-pakket is ‘NEW’.
ESTABLISHED
Alle volgende pakketten van deze verbinding krijgen de status ESTABLISHED. Deze pakketten horen bij een reeds goedgekeurde en bestaande verbinding, waardoor ze sneller verwerkt worden. 🟢 Groene blokjes in je diagram stellen deze pakketten voor: ze zijn ‘veilig’ omdat ze deel uitmaken van een bestaande sessie.
Technisch weetje:
Ieder pakket heeft een uniek sequentie nummer (volgnummer). Dit zorgt ervoor dat de ontvanger de pakketten in de juiste volgorde kan plaatsen en kan controleren of er pakketten ontbreken. Zo worden eventuele hertransmissies (opnieuw verzenden bij verlies) correct afgehandeld.
⚡ TCP SYN & SYN/ACK: Zo begint een verbinding
Wanneer je een nieuwe verbinding opzet (bijvoorbeeld een website bezoekt), verloopt dat via het zogenaamde TCP handshake proces of anders gezegd de three way handshake. Dit werkt in drie stappen:
- 1️⃣ SYN versturen 📨 Je computer verstuurt een SYN pakket naar de server. Status: NEW.
- 2️⃣ SYN/ACK ontvangen 🔁 De server antwoordt met een SYN/ACK pakket. Status: Nog steeds onderdeel van NEW.
- 3️⃣ ACK terugsturen ✔️ Je computer bevestigt met een ACK pakket. Nu is de verbinding ESTABLISHED!
Pas na deze drie stappen kunnen gegevens veilig over en weer worden gestuurd. Je ziet nu waarom firewalls zo streng zijn voor "NEW"-pakketten!
⬛ INVALID Connection State
Een pakket krijgt de status INVALID als het niet past binnen een actieve of geldige verbinding volgens de connection tracking van MikroTik. ⬛ In het schema wordt dit aangeduid met een zwart blokje.
🔒 Wat betekent dit in de praktijk?
- Deze pakketten worden beschouwd als verdacht of ongewenst.
- Ze kunnen ontstaan door netwerkfouten, beschadigde pakketten, verkeerd samengestelde antwoorden of zelfs door aanvallen zoals DoS (Denial of Service).
- De MikroTik firewall zal zulke pakketten direct droppen (blokkeren) voor maximale veiligheid.
⚠️ Na een INVALID pakket:
Het eerstvolgende pakket van dezelfde bron wordt opnieuw gezien als NEW en zal opnieuw worden beoordeeld. Het is aan te raden in je firewall regels alle INVALID pakketten te blokkeren om je netwerk veilig te houden. Meer weten hoe je een sterke firewall kan maken lees dit monsterblog: Je MikroTik apparatuur beveiligen.
🟧 RELATED Connection State
Pakketten met de status RELATED maken niet direct deel uit van de hoofdverbinding, maar zijn wel gekoppeld aan een bestaande sessie. 🟧 In het schema worden deze weergegeven met een oranje blokje.
🔗 Praktische voorbeelden:
- Je opent een website (hoofdverbinding) en start vervolgens een videostream of download. Die extra datastromen zijn “related” aan de oorspronkelijke sessie.
- Ook FTP data, ICMP error meldingen en bepaalde VoIP/video verbindingen worden als related
gemarkeerd.
🔒 Waarom is dit belangrijk?
De stateful firewall van MikroTik kan hierdoor slim onderscheid maken tussen volstrekt nieuw verkeer en aanvullend verkeer dat legitiem hoort bij een bestaande verbinding. Zo kunnen gewenste streams of downloads probleemloos doorgelaten worden, terwijl onbekende of onveilige nieuwe verbindingen tegengehouden worden.
💡Tip:
Voor een veilige firewall laat je in de meeste gevallen enkel betrouwbaar untracked verkeer toe, of log je deze pakketten tijdelijk om te zien wat ze precies doen op jouw netwerk.
⚡ Wat is FastTrack op MikroTik?
FastTrack is een speciale techniek van MikroTik om het routerverkeer veel sneller af te handelen. Het zorgt ervoor dat bepaalde (meestal veilige en veelgebruikte) verbindingen niet meer volledig door alle firewallregels en connection tracking hoeven te lopen.
🚀 Hoe werkt FastTrack?
- Zodra een verbinding als “fasttrack verkeer in aanmerking komt” (meestal established en related verkeer), stuurt MikroTik die datapakketten langs een snellere route in het systeem.
- Hierdoor worden firewall, NAT en connection tracking-processen grotendeels overgeslagen voor deze verbindingen.
- Het resultaat: minder CPU-belasting en hoger aantal packets per seconde (PPS), ideaal voor drukkere netwerken!
🎯 Voordelen van FastTrack
- Betere prestaties: Je haalt vaak een veel hogere doorvoersnelheid.
- Lagere CPU-load: Vooral op drukkere routers en tijdens speedtests merk je het verschil.
- Ideaal voor thuis en kantoorgebruikers die maximale snelheid willen.
⚠️ Belangrijke aandachtspunten
- Geen connection tracking: FastTrack verkeer wordt niet langer getrackt. Je ziet dit verkeer dan ook als untracked in de firewall.
- Niet geschikt voor alles: Sommige functies werken niet met FastTrack, zoals uitgebreide QoS (queue trees), bepaalde traffic-shaping en gedetailleerde firewall logging.
- Troubleshooting: Bij problemen met VPN’s, logging, of speciale firewallregels, kun je FastTrack tijdelijk uitschakelen om te testen.
🛠️ Voorbeeld FastTrack-regel in MikroTik:
/ip firewall filter add action=fasttrack-connection chain=forward connection-state=established,related comment="Enable FastTrack"
🚫 Waarom ik FastTrack afraad op MikroTik routers
Hoewel FastTrack de prestaties van je router flink kan verbeteren, heeft het ook belangrijke nadelen waar veel gebruikers zich niet van bewust zijn:
- 🔍 Geen volledige firewallcontrole: Doordat FastTrack verbindingen buiten de connection tracking en firewall regels om laat lopen, werkt niet elke firewallregel of logging zoals verwacht.
- 🎯 Problemen met QoS en queues: Geavanceerde verkeersprioritering (zoals queue trees of bandbreedtesturing) werkt niet op FastTrack verbindingen.
- 📉 Troubleshooting wordt moeilijker: Omdat FastTrack verkeer niet gelogd wordt zoals normaal, wordt netwerkfouten of verdachte activiteit opsporen veel lastiger.
- 🔐 Niet compatibel met sommige VPN’s of tunneling: Bepaalde VPN protocollen (zoals IPsec) of bijzondere netwerksetups kunnen onverwachte problemen opleveren als FastTrack actief is.
💡 Mijn advies:
Gebruik liever geen FastTrack tenzij je router volledig is getest in jouw situatie en je alle beperkingen begrijpt. Voor een veilig, stabiel en controleerbaar netwerk is het beter om alle verkeer gewoon door de normale firewall en connection tracking te laten lopen.
Enter your text here...
⚡ RAW firewall in MikroTik: direct filteren zonder connection tracking
De RAW firewall van MikroTik werkt zonder connection tracking. Dit betekent dat RAW regels rechtstreeks op de pakketstroom worden toegepast, zonder de overhead van het bijhouden van verbindingstoestanden.
🔹 Voordelen van RAW firewall:
- Snel en efficiënt: RAW regels filteren pakketten nog voor ze de connection tracking of andere firewall regels bereiken.
- CPU-sparend: Minder belasting doordat er geen state-informatie hoeft te worden opgeslagen.
- Heel gericht blokkeren van ongewenst verkeer (zoals DoS-aanvallen).
- Specifieke filtering of manipulatie van pakketten op basis van bron/destination.
- Minimaliseren van belasting op je router bij grote hoeveelheden "junk" verkeer.
🛑 Let op:
RAW is bedoeld voor specifieke, vroege filtering. Het is dus minder geschikt voor gedetailleerde firewall policies per sessie of gebruiker. 👉 Voor de meeste netwerkbeheertaken is het zinvoller om je te concentreren op de traditionele chains. Hier gaan we nu dieper op in.
🔄 Wat doen de INPUT, OUTPUT en FORWARD chains op de MikroTik firewall?
De drie belangrijkste “chains” in de MikroTik firewall filter rules bepalen welk verkeer wordt gecontroleerd en waarop de regel van toepassing is:
1️⃣ INPUT chain
🔑 Beschermt de MikroTik router zelf
- Controleert al het verkeer dat aan de router zelf is gericht (bijvoorbeeld: Winbox, SSH, HTTP, ICMP/ping naar het WAN-adres)
- Typisch gebruik: blokkeren van ongewenste toegang tot de router, management only toestaan vanuit trusted IP’s, enz.
2️⃣ FORWARD chain
🚚 Beheert doorgestuurd verkeer
- Controleert verkeer dat door de router passeert (van het ene netwerksegment naar het andere, bijvoorbeeld LAN naar WAN of tussen VLANs)
- Typisch gebruik: toestaan of blokkeren van intern verkeer tussen netwerken, gastnetwerk scheiden van LAN, toestaan van alleen bepaalde protocollen.
3️⃣ OUTPUT chain
📤 Controleert verkeer dat vanuit de router zelf vertrekt
- Geldt voor pakketten die door de router zelf worden gegenereerd (zoals NTP requests, updates, pings, DNS queries, enz.)
- Typisch gebruik: beperken welke bestemmingen de router zelf mag bereiken (bv. alleen updates van MikroTik sites toestaan)
Praktisch voorbeeld:
- 📥 Wil je alleen toegang tot Winbox (beheerinterface) vanaf je eigen IP? Gebruik een INPUT regel.
- 🔁 Wil je geen verkeer toelaten van IoT naar je LAN? Gebruik een FORWARD-regel.
- 📤 Wil je niet dat je router verbinding maakt met ongewenste servers? Gebruik een OUTPUT regel.
🎬 Nog niet duidelijk? bekijk deze video
Wil je deze chains liever visueel begrijpen? Bekijk mijn video waarin ik aan de hand van duidelijke voorbeelden toon hoe INPUT, FORWARD en OUTPUT werken binnen de MikroTik firewall.
Winbox verkeer blokkeren: fout en correct voorbeeld
❌ Fout voorbeeld: alles blokkeren op poort 8291
In het eerste screenshot stel je een firewallregel in die al het verkeer op poort 8291 (Winbox) blokkeert op de input chain. Dit betekent dat niemand nog toegang krijgt tot Winbox op je router, ook jijzelf niet, zelfs niet vanaf je interne netwerk. Vermijd dit tenzij je zeker weet dat je nooit Winbox nodig hebt.
✅ Correct voorbeeld: alleen WAN poort blokkeren
In het tweede screenshot voeg je een extra voorwaarde toe: Je blokkeert nu enkel verkeer op poort 8291 dat binnenkomt via de WAN interface (bijvoorbeeld ether1-wan). Hierdoor blijft Winbox gewoon toegankelijk op je lokale netwerk (LAN), maar is het veilig geblokkeerd vanaf het internet.
Dit is de aanbevolen werkwijze!
/ip firewall filter add chain=input in-interface=ether1-wan protocol=tcp dst-port=8291 action=drop comment="Block Winbox from WAN"
Uitleg:
- chain=input: Regel wordt toegepast op verkeer naar de router zelf.
- in-interface=ether1-wan: Alleen verkeer dat binnenkomt via de WAN interface.
- protocol=tcp: Alleen TCP-verkeer (Winbox gebruikt TCP).
- dst-port=8291: Alleen verkeer gericht op poort 8291 (Winbox).
action=drop: Blokkeer (drop) dit verkeer.comment="Block Winbox from WAN": Optioneel, ter documentatie.
Wil je het toestaan op het LAN? Dan hoeft er geen expliciete allow-regel voor LAN te zijn, tenzij je andere “drop” regels hebt die alles standaard blokkeren. Voeg in dat geval een allow-regel vóór de drop-regel toe, bijvoorbeeld:
/ip firewall filter add chain=input in-interface=bridge-lan protocol=tcp dst-port=8291 action=accept comment="Allow Winbox from LAN"
- 🏠 Zo blijft beheer via Winbox lokaal mogelijk.
- 📛 Onbevoegden van buitenaf kunnen niet proberen in te loggen.
🗂️ Interface lists: firewall rules eenvoudiger maken
Met interface lists in MikroTik kun je groepen van interfaces aanmaken (zoals ‘WAN’ en ‘LAN’), zodat je je firewallregels veel eenvoudiger en overzichtelijker kunt maken.
Waarom interface lists gebruiken?
- 👌 Makkelijk beheer: Voeg je een nieuwe WAN of LAN interface toe? Je hoeft de firewallregel niet aan te passen, enkel de juiste list bijwerken!
- 🔍 Overzichtelijk: Regels verwijzen naar groepen in plaats van losse poorten. Minder kans op fouten en makkelijker te onderhouden.
- 🚦 Meer controle: Je kan bv. snel het beheer voor alle WAN interfaces beperken zonder tientallen regels aan te passen.
In mijn praktijkvoorbeeld gebruik ik:
🌍 WAN:
- ether1-WAN1- eerste internet provider
- ether2-WAN2 - tweede internet provider
🏠 LAN:
bridge-local - Dit is je hele interne netwerk in één groep. Hierin kunnen verschillende interfaces zitten: denk aan meerdere VLAN’s en ethernet poorten die samen worden beheerd via de bridge. Zo hoef je al deze poorten niet apart in je firewallregels op te nemen.
Voordeel:
Met deze lists kun je eenvoudig al het verkeer naar je WAN-interfaces in één keer regelen (bijvoorbeeld Winbox blokkeren op alle WAN’s), en intern beheer voor het hele LAN toelaten via de bridge.
Zoals je in de bovenstaande screenhot kan zien heb ik deze interfaces toegevoegd aan respectievelijk de WAN list en de LAN-list in de MikroTik interface lists. Alle individuele poorten die bij je thuisnetwerk horen, zijn gebundeld in de bridge local, je hoeft dus niet elke poort apart in je firewall regels te gebruiken.
🔧 MikroTik interface lists aanmaken via CLI
/ip firewall filter add chain=input in-interface=bridge-lan protocol=tcp dst-port=8291 action=accept comment="Allow Winbox from LAN"
💻 Waarom deze blog vooral CLI voorbeelden gebruikt
Voor het instellen en uitleggen van firewall regels werk ik bewust hoofdzakelijk met de MikroTik CLI (Command Line Interface). Doch ik probeer waar mogelijk ook te werken met screenshots. Doch de CLI zal meer en meer worden gebruikt.
Waarom?
- 📸 Screenshots zijn vaak onduidelijk: Ze tonen meestal slechts een stukje van het scherm en missen context.
- ⌨️ CLI is sneller en duidelijker te documenteren: Je kunt commando’s eenvoudig kopiëren, plakken en aanpassen aan je eigen situatie.
- 🛠️ CLI werkt altijd en overal: Het maakt niet uit of je nu Winbox, WebFig of SSH gebruikt – de commando’s zijn universeel toepasbaar.
- 📋 Direct toepasbaar: Lezers kunnen de code rechtstreeks overnemen in hun eigen MikroTik-router.
Wil je toch een GUI schermvoorbeeld of specifieke uitleg bij Winbox? Geef gerust een seintje, dan voorzie ik die er extra bij!
💡 Tip:
Bewaar je CLI scripts ook altijd als backup. Zo kun je snel je firewall configuratie herstellen of delen met anderen!
Blokkeer Winbox op WAN interface list
MikroTik CLI-voorbeeld: Blokkeer Winbox op WAN-interface list
/ip firewall filter add chain=input protocol=tcp dst-port=8291 in-interface-list=WAN action=drop comment="Block Winbox access from WAN"
Uitleg:
- chain=input: Regel geldt voor verkeer dat gericht is aan de router zelf.
- protocol=tcp dst-port=8291: Enkel verkeer gericht op TCP-poort 8291 (Winbox).
- in-interface-list=WAN: Toegepast op alle interfaces die tot de interface list "WAN" behoren.
- action=drop: Verkeer wordt direct geblokkeerd.
- comment: Beschrijving voor beheer en overzicht.
💡 Tip:
Gebruik interface lists zoals WAN, LAN en MGMT om je firewallregels overzichtelijk en schaalbaar te houden. Je hoeft zo nooit per poort aanpassingen te maken als er iets wijzigt!
🛠️ Wat doet een firewallregel met action?
Elke firewall regel bepaalt wat er gebeurt met netwerkverkeer dat aan de voorwaarden van die regel voldoet. De gekozen action bepaalt het lot van het pakket: wordt het toegestaan, geblokkeerd of doorgestuurd naar de volgende regel? Dit is een fundamenteel onderdeel van hoe je je netwerk beveiligt en beheert. Anders gezegd: Elke firewall regel bestaat uit voorwaarden (wanneer geldt deze regel?) en een actie (action) wat moet er gebeuren als een pakket aan de voorwaarden voldoet? Een eenvoudige firewallregel in MikroTik kun je vergelijken met een verkeerslicht voor je netwerkverkeer:
- De voorwaarden (bijvoorbeeld: welk protocol, welke poort, welk inkomend netwerk)
- De actie (action): wat gebeurt er met het verkeer dat voldoet aan die voorwaarden?
Waarom is dit belangrijk?
De juiste keuze van een action zorgt ervoor dat alleen gewenst verkeer wordt toegelaten, terwijl ongewenst of verdacht verkeer wordt tegengehouden. Zo hou je controle over je netwerk en voorkom je ongewenste toegang of storingen.
Welke acties zijn er, en wat doen ze?
Bij MikroTik zijn er drie belangrijkste acties die je het vaakst zal gebruiken. Hieronder leg ik ze uit:
✅ Accept (toestaan)
- Betekenis: Sta dit verkeer toe. Zodra het pakket voldoet aan deze regel, mag het door je router of switch.
Wanneer gebruiken?
- Als je bijvoorbeeld wil dat je eigen PC toegang krijgt tot de beheermodule van de router (Winbox, poort 8291), maak je een accept-regel:
Voorbeeld in CLI
/ip firewall filter add chain=input protocol=tcp dst-port=8291 in-interface-list=LAN action=accept comment="Sta Winbox toe vanaf LAN"
Uitleg:
- chain=input: deze regel geldt voor verkeer dat naar de router zelf gestuurd wordt.
- protocol=tcp: alleen TCP-verkeer.
- dst-port=8291: gericht aan Winbox-poort.
- in-interface-list=LAN: alleen als het van het interne netwerk (LAN) komt.
- action=accept: laat dit verkeer toe.
❌ Drop (blokkeren)
- Betekenis: Blokkeer dit verkeer. Het pakket wordt genegeerd en bereikt zijn doel niet.
Wanneer gebruiken?
Wil je nooit dat iemand van buitenaf (internet/WAN) je router kan bereiken op Winbox-poort?
/ip firewall filter add chain=input protocol=tcp dst-port=8291 in-interface-list=WAN action=drop comment="Blokkeer Winbox vanaf WAN"
Uitleg:
- in-interface-list=WAN: geldt alleen voor verkeer vanaf internet (WAN).
- action=drop: blokkeert het verkeer volledig.
➡️ Passthrough (doorgaan naar de volgende regel)
- Betekenis: Dit is een technische optie die aangeeft: “ga verder met de volgende regel, zonder dit pakket nu te accepteren of blokkeren.”
Wanneer gebruiken?
Je gebruikt deze zelden in standaard firewall regels (komt vaker voor bij mangle-rules of logging). Denk aan een scenario waar je bepaalde statistieken wil bijhouden of labels wil toekennen, zonder het verkeer te blokkeren of toe te laten.
/ip firewall filter add chain=forward src-address=192.168.88.0/24 action=passthrough comment="Label verkeer voor analyse"
CLI-praktijkvoorbeelden voor action in de MikroTik firewall
✅ Accept: verkeer toelaten
/ip firewall filter add chain=input protocol=tcp dst-port=8291 in-interface-list=LAN action=accept comment="Laat Winbox toe vanaf LAN"
Sta Winbox toe voor iedereen op het interne netwerk (LAN).
❌ Drop: verkeer blokkeren
/ip firewall filter add chain=input protocol=tcp dst-port=8291 in-interface-list=WAN action=drop comment="Blokkeer Winbox vanaf WAN"
Blokkeer elke poging om Winbox te openen vanaf het internet (WAN).
➡️ Passthrough: laat het pakket door naar de volgende regel
/ip firewall filter add chain=input protocol=tcp src-address=192.168.88.0/24 action=passthrough comment="Laat verkeer door voor verdere controle"
Laat verkeer vanuit het subnet 192.168.88.0/24 verdergaan naar de volgende firewallregel (meestal voor statistiek of tagging, zelden voor standaard filtering).
🔎 Belangrijk:
- Plaats je accept en drop-regels bovenaan.
- Gebruik passthrough alleen als je verkeer wil labelen of extra statistiek wil verzamelen.
- Meer weten? Lees mijn blog: MikroTik apparatuur beveiligen. Daar toon ik onder andere een volledige firewall-configuratie en geef ik extra tips om je router optimaal te beveiligen.
❗ De uitzondering (“!”) in MikroTik firewallregels
Soms wil je een firewall regel instellen die geldt voor alle adressen of interfaces, behalve één specifieke uitzondering. In MikroTik kun je dit eenvoudig aangeven met een uitroepteken (!). Dit leest als “niet” of “behalve”.
Praktisch voorbeeld:
Wil je bijvoorbeeld Winbox op poort 8291 voor iedereen blokkeren, behalve voor je eigen beheerders-PC? Gebruik dan src-address=!192.168.88.10 in je firewallregel. Hierdoor geldt de regel voor alle adressen, behalve voor dat ene adres. Het uitroepteken kan je gebruiken bij verschillende velden, zoals bronadres, bestemmingsadres, interface, protocol, enzovoort.
💡 Tip:
Gebruik uitzonderingen alleen als je zeker weet wie toegang mag krijgen. Zet altijd je “allow” regel voor de “block” regel.
/ip firewall filter add chain=input protocol=tcp dst-port=8291 src-address=!192.168.88.10 action=drop comment="Blokkeer Winbox behalve voor beheerders-PC"
Uitleg:
- src-address=!192.168.88.10 betekent: deze regel geldt voor alle bronnen, behalve jouw PC met IP-adres 192.168.88.10.
- action=drop: alle andere pogingen om via Winbox in te loggen worden geblokkeerd.
🛑Let op:
Plaats de “accept” regel voor jouw beheerders PC altijd boven deze “drop” regel, zodat je eigen toegang nooit onbedoeld wordt geblokkeerd!
Voorbeeld: SSH blokkeren voor iedereen behalve intern subnet
Stel: Je wilt SSH (poort 22) blokkeren voor iedereen, behalve voor je hele interne netwerk (bijvoorbeeld 192.168.88.0/24).
CLI-regel:
/ip firewall filter add chain=input protocol=tcp dst-port=22 src-address=!192.168.88.0/24 action=drop comment="Blokkeer SSH behalve voor intern netwerk"
Uitleg:
- src-address=!192.168.88.0/24 betekent: blokkeer alles behalve verkeer vanuit je interne netwerk.
- Zo kan je intern nog wel met SSH werken, maar vanaf het internet wordt elke poging geblokkeerd.
❌ Reject: verkeer weigeren met melding
De action reject lijkt op drop, maar stuurt wel een foutmelding terug naar de afzender (bijvoorbeeld een “connection refused” bericht bij TCP). Dit kan handig zijn als je duidelijk wilt maken dat een poort niet beschikbaar is, in plaats van het verkeer gewoon te negeren zoals bij drop.
CLI-voorbeeld:
/ip firewall filter add chain=input protocol=tcp dst-port=21 action=reject reject-with=tcp-reset comment="Weiger FTP met melding"
Wanneer gebruiken?
Als je wil dat applicaties of gebruikers meteen weten dat de verbinding geweigerd wordt (bijvoorbeeld voor debugging, of om valse timeouts te voorkomen).
🎯 Drop versus Reject: wat merkt de gebruiker?
Het verschil tussen drop en reject is niet alleen technisch, maar heeft ook impact op wat gebruikers of aanvallers ervaren:
⛔ Drop: Geen reactie = wachten tot time-out
- Wat gebeurt er? De router blokkeert het pakket zonder enige reactie.
Effect voor de verzender:
- De verzender blijft wachten, omdat hij niet weet of zijn pakket ooit is aangekomen.
- Pas na een lange wachttijd (de “time-out” van de applicatie of het besturingssysteem) krijgt hij een foutmelding.
- Voor een gewone gebruiker lijkt het alsof “het netwerk traag is” of “de verbinding is niet stabiel”.
- Voor scripts of programma’s: het kost onnodig veel tijd om te merken dat de poort niet open is.
🚫 Reject: Direct duidelijkheid
Wat gebeurt er? De router stuurt meteen een foutmelding terug (bijvoorbeeld “connection refused”).
Effect voor de verzender:
- De verzender krijgt onmiddellijk een antwoord: “hier geen toegang”.
- De gebruiker of het programma weet direct dat de poort niet bereikbaar is.
- Geen lange wachttijden of onduidelijke fouten meer, maar meteen duidelijkheid.
🛡️ Wanneer kies je welke actie?
- Gebruik drop als je aanvallers zoveel mogelijk wil frustreren. Ze blijven in het ongewisse, wat brute-force tools kan vertragen.
- Gebruik reject als je gewone gebruikers of vertrouwde applicaties snel wilt laten weten dat een poort niet open staat. Dit voorkomt frustratie en onnodige wachttijden.
Samengevat:
- Drop = “ik doe net alsof ik niet besta” (onzichtbare muur, lang wachten).
- Reject = “je krijgt netjes een nee” (direct duidelijkheid).
📝 Tabel: Het effect van DROP vs REJECT bij verschillende protocollen
Protocol | drop | reject | reject |
|---|---|---|---|
TCP | Verkeer wordt genegeerd. | Verkeer wordt geweigerd. | SSH-brute-force vanaf onbekende IP’s: drop vertraagt aanvaller, reject laat legitieme gebruikers snel weten dat ze geen toegang hebben. |
UDP | Stilte UDP verwacht nooit een bevestiging, en het kan de verzender niet schelen of het pakket aankomt. Of een applicatie opnieuw probeert hangt af van de software, niet van het protocol. | Client krijgt onmiddellijk een ICMP “port unreachable” bericht. | ICMP “port unreachable” applicatie krijgt wel actief feedback dat de poort niet open is, en kan daardoor sneller stoppen met opnieuw proberen. |
ICMP | Pakket wordt niet beantwoord. | “ICMP administratively prohibited” wordt teruggestuurd. | Bij pings of traceroutes, kan reject duidelijk maken dat verkeer bewust wordt geweigerd. |
🔍 Voorbeelden per protocol
TCP voorbeeld: SSH toegang weigeren
DROP (vertraagt aanvallers):
/ip firewall filter add chain=input protocol=tcp dst-port=22 in-interface-list=WAN action=drop comment="Drop SSH vanaf WAN"
Gevolg: Brute-force bots blijven wachten, krijgen nooit antwoord.
REJECT (gebruikers weten meteen waar ze aan toe zijn):
/ip firewall filter add chain=input protocol=tcp dst-port=22 in-interface-list=WAN action=reject reject-with=tcp-reset comment="Reject SSH vanaf WAN"
Gevolg: SSH clients krijgen direct 'connection refused'.
UDP voorbeeld: DNS query’s op verkeerde poort
DROP:
/ip firewall filter add chain=input protocol=udp dst-port=53 in-interface-list=WAN action=drop comment="Drop DNS vanaf WAN"
De client blijft proberen, denkt dat er misschien een tijdelijke storing is. Opgelet: begrijp me niet verkeerd want UDP houd met niets rekening, die zend alleen de pakketten zonder te kijken of ze aankomen of niet. De software die het UDP-protocol gebruikt kan soms herhalen.
REJECT:
/ip firewall filter add chain=input protocol=udp dst-port=53 in-interface-list=WAN action=reject reject-with=icmp-port-unreachable comment="Reject DNS vanaf WAN"
De client krijgt direct ICMP 'port unreachable' en stopt.
ICMP voorbeeld: Pings weigeren
DROP:
/ip firewall filter add chain=input protocol=icmp action=drop comment="Drop alle ICMP pings"
De verzender krijgt geen enkel antwoord.
REJECT
/ip firewall filter add chain=input protocol=icmp action=reject reject-with=icmp-admin-prohibited comment="Reject alle ICMP pings"
⭐ Mijn persoonlijke mening:
Gebruik zoveel mogelijk drop in plaats van reject, tenzij het echt nodig is. Zodra je een reactie geeft op een binnenkomend pakket, laat je weten dat er een router actief is op dat IP-adres. Als je alles stilletjes dropt, ziet niemand dat daar iets te vinden is, en dat is meestal het veiligst.
🚫 Reject-meldingen in MikroTik: uitleg en gebruik
Reject-type | Protocol | Wat doet het? | Wanneer gebruiken? |
|---|---|---|---|
icmp-admin-prohibited | ICMP, UDP | Stuurt een ICMP “administratively prohibited” naar de afzender. | Gebruiken voor algemeen verkeer, laat weten dat verkeer bewust wordt geweigerd door een firewall. |
icmp-port-unreachable | UDP | Stuurt een ICMP “port unreachable” terug. | Gebruik bij UDP-diensten (zoals DNS) zodat de client direct weet dat deze poort niet open is. |
icmp-host-unreachable | unreachable ICMP, UDP | Stuurt een ICMP “host unreachable” terug. | Te gebruiken als je wilt aangeven dat het hele apparaat niet bereikbaar is (minder gebruikelijk). |
tcp-reset | TCP | Stuurt een TCP RST-pakket (reset) terug. | Voor TCP-verbindingen; de client krijgt meteen een “connection refused”. Vooral handig bij poorten als 21 (FTP), 22 (SSH), 80 (HTTP) enzovoort. |
icmp-network-unreachable | ICMP, UDP | Stuurt een ICMP “network unreachable” terug. | Gebruik als je wilt aangeven dat het netwerk als geheel niet bereikbaar is. |
Toelichting:
- De meest gebruikte zijn icmp admin-prohibited, icmp-port-unreachable (voor UDP), en tcp-reset (voor TCP).
- Kies het reject type dat het beste past bij het protocol en het soort verkeer dat je wilt afwijzen.
- Met het juiste reject type informeer je de verzender snel en efficiënt, maar geef je ook soms extra informatie prijs over je netwerk (zie je vorige advies over drop).
💡 Wat doet een TCP reset?
Een TCP reset (TCP RST) is een speciaal signaal binnen het TCP protocol waarmee een verbinding onmiddellijk en abrupt wordt beëindigd. In plaats van het pakket gewoon te laten “verdwijnen” (zoals bij drop), laat je hiermee aan de verzender weten: “Deze poort is dicht, stop direct met deze verbinding.”
Wanneer gebruik je dit?
Bijvoorbeeld als je ongewenste verbindingen naar poorten als 22 (SSH), 80 (HTTP) of 443 (HTTPS) wilt weigeren en meteen duidelijkheid wil geven aan de client.
Praktisch voorbeeld:
/ip firewall filter add chain=input protocol=tcp dst-port=80 action=reject reject-with=tcp-reset comment="Reject HTTP met TCP reset"
De client krijgt nu meteen een foutmelding (“connection reset by peer” of “connection refused”) en zal niet nodeloos blijven proberen.
Voordeel:
Dit voorkomt lange wachttijden (time-outs) en maakt je netwerkgedrag voorspelbaar voor gewone gebruikers of applicaties.
📋 Address-list in de MikroTik firewall: wat en waarom?
Een address-list is een dynamische of statische lijst van IP-adressen, netwerken of (sinds RouterOS v7) zelfs IPv6-adressen, die je gebruikt om firewall regels slimmer, leesbaarder en onderhoudsvriendelijker te maken.
⭐ Voordelen van address-lists
- Overzichtelijk: Een lijst, meerdere regels: wijzig je de lijst, dan zijn alle bijhorende firewall regels direct aangepast.
- Efficiënt: Voeg dynamisch IP’s toe aan een lijst bij bijvoorbeeld brute force pogingen, en blokkeer deze direct (automatische blokkades).
- Herbruikbaar: Gebruik dezelfde lijst in verschillende chains, NAT, Mangle of andere regels.
- Flexibel: Je kunt hele subnets, enkel hosts of wildcards gebruiken.
- Beveiliging: Handig voor black listing (aanvallers) en white listing (trusted beheer-IP’s).
🌐 Hostnamen in address-lists
🟦 Hoe werkt het?
- Voeg een domeinnaam toe aan een address-list.
- MikroTik resolved automatisch het bijhorende IP-adres en houdt dat up-to-date (bij wijziging van de DNS-resolutie).
- Je kunt dit voor zowel firewall, NAT als mangle rules gebruiken.
🔗 Voorbeeld: Domein toevoegen aan een address-list
/ip firewall address-list add list=streaming-diensten address=youtube.com add list=streaming-diensten address=netflix.com add list=beheer address=your-admin-device.dyndns.org
Na enkele seconden / minuten verschijnt het bijhorende IP (of meerdere) in de address-list, zichtbaar via /ip firewall address-list print.
🛑 Let op:
- Bij veelgebruikte cloud providers kan het IP vaak wisselen.
- Alle geresolveerde IP's komen in de lijst.
- De TTL van de DNS-record bepaalt de frequentie van updates.
🧠 Mogelijkheden
- Toestaan of blokkeren van specifieke domeinen zonder steeds de IP's bij te werken.
- Ideaal voor dynamische (DDNS) adressen voor beheer op afstand.
- Ook bruikbaar voor white listing (bijvoorbeeld je eigen VPN server), of black listing (malware, ongewenste services).
📑 Tabel: Aangeraden Address-list namen en hun gebruik
Address-list naam | Toepassing | Opmerking |
|---|---|---|
admin | Beheer-IP’s en hosts | Voor SSH/Winbox toegang |
ssh-blacklist | Dynamische blocklist voor SSH-aanvallen | Automatisch gevuld via firewall rule |
trusted | Apparaten met volledige toegang | Noodzakelijk voor monitoring / NMS |
streaming | Toegestane streaming diensten | bv. youtube.com, netflix.com |
allowed-dns | DNS-servers die mogen worden gebruikt | Zowel IP als FQDN mogelijk |
guest-blocklist | Geblokkeerde gast-apparaten of IP’s | Voor isolatie op gast-VLAN/SSID |
vpn-clients | Dynamische VPN gebruikers (IP of hostnaam) | bv. OpenVPN, WireGuard, L2TP, SSTP |
iot | IoT devices of subnetten | Voor isolatie of logging |
cameras | IP-adressen van bewakingscamera’s | Voor netwerk isolatie en logging |
mail-servers | Toegestane mail servers | Voor filtering en anti-spam regels |
zerotier-peers | ZeroTier subnetten of peers | Kan dynamisch via FQDN/DDNS |
🗂️ Dynamisch werken met address lists (“add to address list”)
Address lists in MikroTik zijn krachtige hulpmiddelen om IP-adressen of netwerken automatisch te groeperen en slim te beheren binnen je firewall. Je kunt hiermee niet alleen handmatig IP’s toevoegen, maar vooral ook dynamisch laten vullen op basis van inkomend of uitgaand verkeer. Door “add to address list” als actie in je firewall regels te gebruiken, kun je automatisch verdachte of juist toegestane IP’s bijhouden, aanvallers tijdelijk blokkeren, of flexibele toegangslijsten opbouwen. Zo houd je je firewall overzichtelijk en schaalbaar, zonder ellenlange regels voor elk IP-adres.
🔹 Waarom werken met address lists?
- Automatische detectie en blokkering: Je router kan automatisch aanvallers of ongewenste bezoekers herkennen en direct blokkeren, zonder dat je ernaar hoeft om te kijken.
- Tijdelijke toegang mogelijk maken: Je kunt IP-adressen een bepaalde tijd op de lijst laten staan (met een “timeout”).
- Schaalbaar beheer: Grote of groeiende netwerken zijn veel eenvoudiger te beheren met dynamische lijsten dan met losse firewall regels.
- Flexibele combinaties: Address lists zijn overal in je firewall inzetbaar – in filter, NAT én mangle regels.
🔹 Hoe werkt “add to address list”?
Als je een firewall regel toevoegt met de actie add-src-to-address-list of add-dst-to-address-list, zet MikroTik het betreffende IP-adres (bron of bestemming) automatisch op de door jou gekozen address list, optioneel voor een ingestelde tijd.
Praktisch voorbeeld: SSH-brute-force automatisch weren
1️⃣ Detecteer en verzamel ongewenste IP’s
/ip firewall filter add chain=input protocol=tcp dst-port=22 connection-state=new action=add-src-to-address-list address-list=ssh_blacklist address-list-timeout=1d comment="Zet brute-force SSH IP in blacklist"
2️⃣ Blokkeer deze IP’s automatisch
/ip firewall filter add chain=input src-address-list=ssh_blacklist action=drop comment="Blokkeer SSH blacklisted IP's"
💡Tip:
Address lists kun je combineren met andere regels, zoals trusted hosts (whitelist), tijdsbeperkingen of meldingen. De toepassingen die je daar kan mee aanvangen zijn kortom schitterend.
🖥️ Praktijkvoorbeeld: RDP-aanvallen automatisch blokkeren
1️⃣ Voeg elk nieuw bronadres dat probeert te verbinden met RDP (poort 3389) toe aan een blacklist voor 24 uur:
/ip firewall filter add chain=input protocol=tcp dst-port=3389 connection-state=new action=add-src-to-address-list address-list=rdp_blacklist address-list-timeout=1d comment="Zet brute-force RDP IP in blacklist"
2️⃣ Blokkeer alle IP’s op deze blacklist:
/ip firewall filter add chain=input src-address-list=rdp_blacklist action=drop comment="Blokkeer alle RDP blacklisted IP's"
🛠️ Praktijkvoorbeeld: Winbox toegang beperken tot trusted IP’s
1️⃣ Voeg je vertrouwde IP-adressen handmatig toe aan een address list:
/ip firewall address-list add address=192.168.1.10 list=winbox_trusted comment="Mijn eigen PC" /ip firewall address-list add address=203.0.113.44 list=winbox_trusted comment="Extern trusted IP"
- Voeg hier alle IP’s toe die Winbox mogen gebruiken (dit kan ook via GUI).
2️⃣ Sta Winbox alleen toe vanaf deze trusted list:
/ip firewall filter add chain=input protocol=tcp dst-port=8291 src-address-list=winbox_trusted action=accept comment="Toestaan: Winbox enkel trusted IP's"
3️⃣ Blokkeer alle andere Winbox-toegang (plaats deze regel NA de accept-regel!):
/ip firewall filter add chain=input protocol=tcp dst-port=8291 action=drop comment="Drop alle overige Winbox-toegang"
💡Tip:
- Je kunt deze aanpak combineren met dynamische address lists (bijv. als iemand teveel foute logins doet, kun je hem tijdelijk blacklisten).
- Voeg altijd een timeout toe aan blacklists, zodat onschuldige gebruikers niet permanent worden geblokkeerd bij een foutje.
🔗 Modulaire firewall regels met jump rules
Wil je je MikroTik firewall overzichtelijk, veilig en professioneel opbouwen? Gebruik dan jump rules om je filterregels op te splitsen in logische “blokken” of subchains. Zo houd je complexe firewalls makkelijk beheersbaar en kun je eenvoudig uitbreiden of uitzonderingen toevoegen. In deze blogpost toon ik praktische voorbeelden van jump rules en subchains voor bijvoorbeeld SSH, Winbox of RDP. 👉 Wil je een volledige, kant-en-klare firewall configuratie zien (inclusief best practices voor veiligheid)? Lees dan mijn aparte blogpost: MikroTik apparatuur beveiligen
- Overzichtelijker
- Makkelijker te onderhouden
- Eenvoudiger uit te breiden
Hoe werkt een jump rule?
Stel je voor: Je wilt alle inkomende SSH verkeer eerst door een aparte set regels laten gaan, voordat je het toelaat of blokkeert. Met een jump stuur je deze verbindingen naar een “ssh-filter” chain die je zelf definieert.
🔗 Praktisch voorbeeld: SSH filteren met jump rules en return
1️⃣ Maak eerst je address list met vertrouwde SSH IP’s (bijvoorbeeld je eigen PC):
/ip firewall address-list add address=192.168.1.254 list=ssh_trusted comment="Mijn eigen PC"
2️⃣ Definieer de subchain voor SSH (“ssh-filter”):
/ip firewall filter add chain=ssh-filter src-address-list=ssh_trusted action=accept comment="Sta alleen trusted SSH toe" add chain=ssh-filter action=return comment="Niet trusted? Terug naar hoofdchain"
3️⃣ Maak in je hoofd chain de jump naar deze subchain:
/ip firewall filter add chain=input protocol=tcp dst-port=22 action=jump jump-target=ssh-filter comment="SSH-verkeer via aparte subchain"
4️⃣ Zet na de jump een blokkeerregel voor alle niet-trusted SSH:
/ip firewall filter add chain=input protocol=tcp dst-port=22 action=drop comment="Drop overige SSH na subchain"
🔎 Flow uitgelegd:
- Stap 1: Verkeer op poort 22 komt bij de hoofd-chain.
- Stap 2: action=jump stuurt dat verkeer naar de “ssh-filter” subchain.
- Stap 3: In de subchain wordt eerst gekeken: is het IP “trusted”? Dan accept.
- Stap 4: Geen match? Return stuurt het verkeer terug naar de hoofd-chain, waar de volgende regel (drop) het alsnog blokkeert.
Voordelen van deze aanpak:
- Je kunt voor elk protocol (bijv. Winbox, RDP, HTTP) een eigen subchain maken
- Aanpassingen blijven beperkt tot één blok; veel minder kans op fouten
- Je kunt makkelijker debuggen en loggen
Voordeel:
- Je maakt je firewall modulair en overzichtelijk.
- Trusted IP’s krijgen direct toegang, de rest wordt netjes afgewezen.
💡Extra tip:
🔗 Voorbeeld: SSH filter subchain met return
/ip firewall filter add chain=ssh-filter src-address-list=ssh_trusted action=accept comment="Toestaan: trusted SSH" /ip firewall filter add chain=ssh-filter action=return comment="Terug naar hoofdchain (voor logging of andere acties)"
🖥️ Modulaire RDP toegang met jump rules (best practice)
1️⃣ Voeg je interne beheerders PC’s toe aan de trusted address list
/ip firewall address-list add address=192.168.100.10 list=rdp_trusted comment="Interne beheer-pc" /ip firewall address-list add address=192.168.100.20 list=rdp_trusted comment="Nog een intern device"
Gebruik alleen interne IP’s of management VLAN’s, VPN! Externe toegang tot RDP is niet aangeraden.
2️⃣ Maak een subchain voor RDP (“rdp-filter”) met accept en return
/ip firewall filter add chain=rdp-filter src-address-list=rdp_trusted action=accept comment="Sta alleen interne trusted RDP toe" add chain=rdp-filter action=return comment="Niet trusted? Terug naar hoofdchain"
3️⃣ Jump in de hoofd chain naar je subchain voor alle RDP verkeer
/ip firewall filter add chain=input protocol=tcp dst-port=3389 action=jump jump-target=rdp-filter comment="RDP-verkeer naar subchain"
4️⃣ Drop alle andere RDP verbindingen (na de jump)
/ip firewall filter add chain=input protocol=tcp dst-port=3389 action=drop comment="Drop alle niet-trusted RDP"
⚠️ Belangrijk advies:
Stel RDP en andere beheerpoorten zoals Winbox of SSH nooit direct open naar het internet. Wil je van buitenaf toegang tot je netwerk of servers? Kies dan voor een beveiligde VPN oplossing:
- Gebruik een VPN (zoals WireGuard of ProtonVPN) om eerst veilig te verbinden met je interne netwerk, en pas daarna RDP te gebruiken.
- Of maak gebruik van ZeroTier als moderne, flexibele remote access oplossing.
- Blokkeer alle overige toegang.
Lees voor een complete, veilige setup ook deze blogposts:
Zo houd je je beheertoegang veilig, overzichtelijk en flexibel, en ben je niet afhankelijk van riskante port forwarding naar je router!
📋 Log opties in MikroTik firewall regels
Logging is cruciaal om te weten wat je firewall doet en om verdachte activiteit op tijd te detecteren. Met MikroTik kun je heel eenvoudig bepaalde firewall regels laten loggen, zodat je kunt zien wanneer en waarom verkeer wordt toegelaten, geblokkeerd of gepoogd wordt binnen te komen.
📋 Hoe log je een firewall regel?
Voeg simpelweg action=log toe aan je firewall regel.
Bijvoorbeeld:
/ip firewall filter add chain=input protocol=tcp dst-port=8291 action=log log-prefix="WINBOX DROP: " comment="Log geblokkeerde Winbox-pogingen"
log-prefix: Gebruik een korte, unieke prefix zodat je logs makkelijk kunt filteren.
🔹 Waar vind je de logs?
- Via Winbox: Ga naar Log links in het menu. Hier zie je live alle log berichten, gefilterd op datum, tijd, en eventueel je eigen log prefix.
- Via de terminal: Typ /log print voor een overzicht. Gebruik /log print where message~"WINBOX" om alleen je eigen prefix te zien.
📋 Voorbeelden van nuttige log regels
Alle drop attempts op SSH loggen:
/ip firewall filter add chain=input protocol=tcp dst-port=22 action=log log-prefix="SSH DROP: " comment="Log SSH drops" /ip firewall filter add chain=input protocol=tcp dst-port=22 action=drop comment="Drop SSH na logging"
Alle toegestane Winbox verbindingen loggen (voor debug):
/ip firewall filter add chain=input protocol=tcp dst-port=8291 action=log log-prefix="WINBOX ACCEPT: " comment="Log toegelaten Winbox" /ip firewall filter add chain=input protocol=tcp dst-port=8291 action=accept comment="Sta Winbox toe"
Let op: Zet logging voor “accept” niet permanent aan in drukke netwerken, want dat maakt je log snel onoverzichtelijk.
💡 Tip:
Gebruik logging vooral voor kritieke poorten (beheer, RDP, SSH) of als je aan het debuggen bent. Vergeet niet om na testen overbodige logregels weer uit te schakelen, zo blijft je log overzichtelijk en je router snel!
🕑 Logging buiten kantooruren
Stel: Je wilt alleen Winbox of SSH pogingen loggen die buiten de kantooruren (bijvoorbeeld 8u tot 18u) plaatsvinden.
1️⃣ Maak tijdgebonden firewallregels met een time-parameter
/ip firewall filter add chain=input protocol=tcp dst-port=8291 action=log \
log-prefix="WINBOX AFTER HOURS: " time=18h-8h,sun,mon,tue,wed,thu,fri,sat \
comment="Log Winbox-pogingen buiten kantooruren"
/ip firewall filter add chain=input protocol=tcp dst-port=8291 action=drop \
time=18h-8h,sun,mon,tue,wed,thu,fri,sat \
comment="Drop Winbox buiten kantooruren"
Let op: De tijdnotatie 18h-8h betekent van 18:00 uur ‘s avonds tot 08:00 uur ‘s ochtends. Je kunt de dagen aanpassen indien nodig.
2️⃣ Regels voor kantooruren (optioneel)
Wil je Winbox overdag toelaten zonder logging? Dan kun je dit als volgt doen:
/ip firewall filter add chain=input protocol=tcp dst-port=8291 action=accept \
time=8h-18h,sun,mon,tue,wed,thu,fri,sat \
comment="Toestaan Winbox binnen kantooruren"
Hoe werkt het?
- Tussen 18:00 en 08:00 logt en dropt de router elke Winbox poging (eventueel log je alleen, of laat je de regel daarna doorlopen naar je accept/drop chain).
- Tussen 08:00 en 18:00 kun je Winbox (en/of SSH) wél accepteren of op een andere manier verwerken.
💡 Tip:
Wil je dit voor SSH, RDP of andere poorten doen? Pas gewoon dst-port=22 (voor SSH), dst-port=3389 (voor RDP) aan.
📋 Overzicht: Log opties in MikroTik firewall regels
MikroTik biedt verschillende manieren om logging te verfijnen en je logboeken overzichtelijk te houden.
1️⃣ Loggen met een herkenbare prefix
Voeg log-prefix="..." toe aan je log-regel.
Voorbeeld:
/ip firewall filter add chain=input protocol=tcp dst-port=22 action=log log-prefix="SSH DROP: " comment="Log SSH drops"
- Gebruik een korte, unieke prefix zodat je logs makkelijk kunt filteren.
2️⃣ Log alleen specifieke acties
Log niet alles, focus op:
- Geblokkeerde pogingen op kritieke poorten (Winbox, SSH, RDP, ...).
- Toegestane toegang voor debugging.
- Verdachte traffic (bijv. naar ongebruikte poorten).
3️⃣ Logs filteren in Winbox en CLI
- In Winbox: Menu Log, filter op je log-prefix of datum/tijd.
- In Terminal: /log print where message~"SSH DROP"
/log print where message~"SSH DROP"
Dan toont de router alle logregels waarin die tekst (“SSH DROP”) voorkomt. Zo kun je snel en gericht je logboek doorspitten op specifieke gebeurtenissen.
4️⃣ Loglevel instellen voor belangrijkheid
Standaard worden firewall logs als info opgeslagen, maar je kan het loglevel wijzigen (optioneel):
/ip firewall filter add chain=input protocol=tcp dst-port=22 action=log log-prefix="SSH DROP: " log-level=warning
Let op:
Standaard werkt log-level alleen als je het globale loggingsysteem aanpast, anders blijft alles op info.
5️⃣ Log forwarding naar een externe syslog-server
Wil je je logs extern bewaren, bijvoorbeeld voor auditing of analyse?
- Zet een syslog-server op (bv. Kiwi Syslog, Graylog, Splunk).
/system logging add action=remote topics=firewall /system logging action set remote remote=192.168.100.200 remote-port=514
6️⃣ Best practices voor logging
- Log alleen wat nodig is, te veel logging maakt je log onbruikbaar en vertraagt je router.
- Zet logging tijdelijk aan voor troubleshooting, daarna uit.
- Gebruik duidelijke prefixen en korte comments.
- Controleer regelmatig je logboeken voor verdachte activiteit.
🔖 Handige log prefixes voor firewall regels
Log-prefix | Gebruik voor… | Wanneer inzetten? |
|---|---|---|
SSH DROP | Geblokkeerde SSH pogingen | Als je SSH extern wilt monitoren/blokkeren |
SSH ACCEPT | Toegestane SSH verbindingen | Tijdelijk bij debuggen van beheer verbindingen |
WINBOX DROP | Geblokkeerde Winbox pogingen | Winbox op poort 8291 van buitenaf blokkeren |
WINBOX ACCEPT | Toegestane Winbox verbindingen | Debugging of tijdelijk logging bij nieuwe rules |
RDP BLOCK | Geblokkeerde Remote Desktop pogingen | Externe RDP verbindingen monitoren of blokkeren |
PORTSCAN | Verdachte portscan attempts | Detectie van port scans en andere probe attempts |
FTP TRY | Mislukte of gelukte FTP logins | Beheer van FTP op routers met publieke toegang |
INPUT DROP | Algemeen geweigerde pakketten (INPUT) | Om te monitoren wat je INPUT chain blokkeert |
FORWARD DENY | Gedropte FORWARD pakketten | Bij routeren tussen netwerken en filteren van ongewenst verkeer |
VPN FAIL | Mislukte VPN inlogpogingen | Bij L2TP, IPsec, WireGuard debugging/beveiliging |
DNS REQ | DNS queries richting je router | Monitoring op DNS abuse of ongewenste queries |
ICMP BLOCK | Geblokkeerde pings (ICMP) | Als je ping (ICMP) verkeer wilt controleren of beperken |
MGMT BLOCK | Pogingen tot ongeoorloofde beheer | Als je beheerpoorten zoals Telnet, API, HTTP blokkeert |
💡 Extra tips:
- Je kan de prefixen naar wens aanpassen of uitbreiden.
- Geef altijd een korte, duidelijke comment mee aan je firewallregel voor overzicht.
- Gebruik één vaste stijl voor alle prefixes in je netwerk (bijvoorbeeld altijd hoofdletters + dubbele punt).
Eerlijk? Ook ik ben soms wat slordig met prefixes en comments, zeker als het snel moet gaan. En dat merk je waarschijnlijk ook als je door deze blog bladert 😅. Maar geloof me: hoe consistenter je bent, hoe makkelijker je het jezelf later maakt. Dus: vaste notatie afspreken, toepassen, en jezelf af en toe herinneren… (ik spreek uit ervaring!).
🎥 Voorbeeld: Camera-netwerk volledig isoleren (geen internet, geen inkomend verkeer)
Situatie:
- Je hebt een VLAN of subnet met camera’s, bv. 192.168.20.0/24
- Camera’s mogen niet naar het internet (alleen intern bereikbaar vanaf je NVR of beheersysteem).
- Camera’s mogen niet van buitenaf worden benaderd (ook niet via port forwarding).
1️⃣ Blokkeer alle verkeer van de camera’s naar buiten
/ip firewall filter add chain=forward src-address=192.168.20.0/24 out-interface-list=WAN action=drop comment="Blokkeer camera’s naar internet"
Deze regel zorgt ervoor dat alle verkeer van de camera’s richting het internet (WAN) wordt geblokkeerd.
2️⃣ Blokkeer alle verkeer naar het camera-netwerk van buitenaf
/ip firewall filter add chain=forward dst-address=192.168.20.0/24 in-interface-list=WAN action=drop comment="Blokkeer inkomend verkeer naar camera’s"
Nu kan niets van buitenaf (internet) je camera’s bereiken.
3️⃣ (Optioneel) Sta alleen intern beheer toe
Wil je enkel je NVR, NAS of beheer-pc toegang geven tot de camera’s? Voeg een accept regel toe vóór de drop-regels:
/ip firewall filter add chain=forward src-address=192.168.1.100 dst-address=192.168.20.0/24 action=accept comment="Sta NVR toe naar camera’s"
Vervang 192.168.1.100 door het IP-adres van je NVR, NAS of beheerstation.
4️⃣ (Optioneel) Log pogingen tot blokkade
Wil je zien of er toch verkeer wordt geblokkeerd? Voeg een logregel toe net voor de drop-regel:
/ip firewall filter add chain=forward src-address=192.168.20.0/24 out-interface-list=WAN action=log log-prefix="CAM OUT BLOCK: "
💡 Samengevat:
- Camera’s zijn nu volledig geïsoleerd.
- Geen toegang tot internet, geen inkomend verkeer van buitenaf.
- Je kunt intern nog exact beheren wat wel mag.
❓ Veelgestelde vragen over IoT/camera isolatie
1️⃣ Waarom mogen camera’s niet zomaar naar het internet?
De meeste IP-camera’s bevatten eenvoudige software en krijgen weinig updates. Een verbinding met het internet maakt ze kwetsbaar voor hackers, botnets en lekken van privébeelden. Advies: blokkeer standaard alle internettoegang.
2️⃣ Moet ik poort-forwarding instellen om camerabeelden op afstand te bekijken?
Nee, liever niet! Poort-forwarding opent je netwerk en camera’s voor het internet, een groot beveiligingsrisico. Alternatief: gebruik een VPN zoals Wireguard, ZeroTier of veilige cloudoplossing van een vertrouwde fabrikant (met twee-factor-authenticatie).
3️⃣ Kunnen mijn camera’s nog met mijn recorder (NVR) praten als ik deze regels toepas?
Ja, zolang je recorder zich binnen je interne netwerk bevindt of je expliciet verkeer toestaat van de NVR naar de camera’s (zie accept-regel hierboven).
Let op: externe toegang van buitenaf blijft geblokkeerd.
4️⃣ Kunnen camera’s nog automatisch updaten als ze geen internettoegang hebben?
Nee, niet rechtstreeks. Wil je dit toch toestaan, maak dan een tijdelijke accept-regel naar alleen de update-server van de fabrikant, en verwijder of schakel deze uit na de update.
5️⃣ Kan ik de camera’s in een VLAN plaatsen?
Ja, dat is zelfs aangeraden! Een apart VLAN maakt het nóg makkelijker om verkeer te controleren en isoleren met firewallregels.
6️⃣ Wat als ik toch remote toegang wil?
Gebruik een VPN (zoals WireGuard), ZeroTier of een andere veilige remote access-oplossing.
Zie ook mijn blogs:
7️⃣ Kunnen de camera’s nog onderling communiceren?
Standaard kunnen alle apparaten binnen hetzelfde subnet of VLAN met elkaar communiceren, ook de camera’s onderling. Dit heet “east-west traffic” (verkeer tussen apparaten in hetzelfde segment). Soms wil je dat beperken, bijvoorbeeld om te voorkomen dat gehackte camera’s elkaar besmetten of misbruiken. Wil je onderling verkeer blokkeren? Gebruik “client isolation” of “private VLAN” indien je switch dat ondersteunt. Op een MikroTik-router kan je het ook met firewallregels aanpakken.
💡Extra tip:
Sommige switches en access points bieden Layer 2-isolatie (“port isolation” of “AP client isolation”), zodat zelfs broadcasts/multicasts niet meer kunnen. Dit kan je netwerk nog veiliger maken. Zie hiervoor naar mijn monsterblog: Mikrotik apparatuur beveiligen.
/ip firewall filter add chain=forward src-address=192.168.20.0/24 dst-address=192.168.20.0/24 action=drop comment="Blokkeer verkeer tussen camera's onderling"
Plaats deze regel na je accept regel(s) voor NVR, NAS of beheersystemen!
8️⃣ Kan ik camera’s toestaan om alleen naar specifieke interne servers te communiceren?
Ja, dat kan! Je kunt in je firewall toelaten dat camera’s alleen contact maken met specifieke interne IP-adressen, zoals je NVR of een beheer-pc, en verder al het andere verkeer blokkeren.
/ip firewall filter add chain=forward src-address=192.168.20.0/24 dst-address=192.168.1.100 action=accept comment="Camera’s mogen NVR bereiken" add chain=forward src-address=192.168.20.0/24 action=drop comment="Camera’s blokkeren naar overige interne systemen"
Pas de IP-adressen aan volgens jje netwerk scenareo
Waarom deze aanpak veiliger is:
Door je camera’s uitsluitend toegang te geven tot je NVR of beheer-pc, voorkom je dat ze (per ongeluk of door malware) andere interne systemen bereiken. Dit verkleint de kans op laterale aanvallen, waarbij een gehackt apparaat gebruikt wordt om andere toestellen in je netwerk te compromitteren.
Het zorgt er ook voor dat camera’s niet “stiekem” verbinding maken met niet-geautoriseerde systemen, zoals een NAS of een pc. Kortom:
👉 Alleen toestaan wat strikt noodzakelijk is = minimale risico’s en maximale controle!
9️⃣ Moet ik multicast- of broadcast-verkeer van camera’s blokkeren?
Vaak sturen IP-camera’s multicast of broadcast pakketten rond, bijvoorbeeld voor automatische ontdekking door een NVR of beheer-app.
In kleine, geïsoleerde netwerken is dat meestal geen probleem. Maar als je camera’s in een groot netwerk of op een VLAN met andere IoT-toestellen plaatst, kan dit voor onnodig verkeer en zelfs beveiligingsrisico’s zorgen.
Voorbeeld multicast blokkeren:
/ip firewall filter add chain=forward src-address=192.168.20.0/24 dst-address=224.0.0.0/4 action=drop comment="Blokkeer multicast van camera’s"
Voorbeeld broadcast blokkeren
/ip firewall filter add chain=forward src-address=192.168.20.0/24 dst-address=255.255.255.255 action=drop comment="Blokkeer broadcast van camera’s"
Zet deze regels alleen in als je zeker weet dat je geen automatische discovery nodig hebt!
1️⃣0️⃣ Hoe blokkeer ik broadcast of multicast tussen camera’s op een bridge?
Standaard blijven broadcasts en multicasts binnen een bridge “onder de radar” van de gewone firewall. Wil je deze pakketten echt blokkeren, bijvoorbeeld om te voorkomen dat camera’s elkaar automatisch detecteren of onnodig verkeer veroorzaken, dan moet je de bridge firewall inschakelen.
Zo doe je dat op MikroTik:
1️⃣ Zet de bridge firewall aan:
/interface bridge settings set use-ip-firewall=yes
2️⃣ Voeg bridge filterregels toe, bijvoorbeeld om broadcasts te blokkeren:
/interface bridge filter add chain=forward src-address=192.168.20.0/24 dst-address=255.255.255.255 action=drop comment="Bridge: blokkeer broadcast van camera’s" add chain=forward dst-mac-address=ff:ff:ff:ff:ff:ff action=drop comment="Bridge: blokkeer alle ethernet broadcasts"
Let op:
Deze filtering werkt binnen één bridge, dus tussen poorten die in dezelfde bridge zitten. Voor verkeer tussen verschillende netwerken gebruik je de gewone /ip firewall filter regels.
⚠️ Veelgemaakte fouten bij IoT/camera-isolatie — met CLI-voorbeelden
1️⃣ Verkeer tussen VLAN’s blijft open
Fout: Geen drop-regel voor verkeer tussen interne netwerken.
Oplossing:
/ip firewall filter add chain=forward src-address=192.168.20.0/24 dst-address=192.168.10.0/24 action=drop comment="Blokkeer camera's naar interne VLAN" add chain=forward src-address=192.168.10.0/24 dst-address=192.168.20.0/24 action=drop comment="Blokkeer LAN naar camera's"
2️⃣ NVR of NAS buitengesloten
Oplossing: Accept vóór drop!
/ip firewall filter add chain=forward src-address=192.168.1.100 dst-address=192.168.20.0/24 action=accept comment="NVR toegang tot camera’s" add chain=forward dst-address=192.168.20.0/24 action=drop comment="Blokkeer rest naar camera’s"
(Vervang 192.168.1.100 door je NVR IP.)
3️⃣ Port forwarding zonder restricties
Fout: Alles wordt doorgelaten.
# Slecht voorbeeld (NIET DOEN!) /ip firewall nat add chain=dstnat dst-port=554 protocol=tcp action=dst-nat to-addresses=192.168.20.10 # Goed voorbeeld: enkel via VPN of trusted IP /ip firewall filter add chain=forward src-address=10.10.10.100 dst-address=192.168.20.10 action=accept comment="Enkel trusted IP naar camera" add chain=forward dst-address=192.168.20.10 action=drop comment="Blokkeer rest"
4️⃣ Verkeerde volgorde van firewallregels
Oplossing: Accept altijd vóór drop!
# Juiste volgorde add chain=forward src-address=192.168.1.100 dst-address=192.168.20.0/24 action=accept comment="NVR" add chain=forward dst-address=192.168.20.0/24 action=drop comment="Rest blok"
5️⃣ Geen logging bij debugging
Oplossing: Tijdelijke logregel vóór drop.
add chain=forward dst-address=192.168.20.0/24 action=log log-prefix="CAM BLOCK: " comment="Log blokkades" add chain=forward dst-address=192.168.20.0/24 action=drop comment="Drop naar camera’s"
6️⃣ Camera’s kunnen niet updaten
Oplossing: Tijdelijke accept regel naar fabrikant-URL/IP.
add chain=forward src-address=192.168.20.0/24 dst-address=198.51.100.20 action=accept comment="Camera update server tijdelijk toestaan"
🎉 Scenario: Gastnetwerk volledig gescheiden houden van je intern netwerk
📝 Situatie
- Je hebt een “gast”-wifi (of VLAN), bijvoorbeeld op 192.168.30.0/24
- Je eigen interne netwerk is bv. 192.168.10.0/24
- Gasten mogen wel internet, maar geen toegang tot je LAN, servers, printers, IoT, enz.
1️⃣ Blokkeer verkeer van GAST naar je LAN
Belangrijk: MikroTik verwerkt firewallregels van BOVEN naar BENEDEN!
/ip firewall filter add chain=forward src-address=192.168.30.0/24 dst-address=192.168.10.0/24 action=drop comment="Blokkeer gasten naar LAN" add chain=forward src-address=192.168.30.0/24 dst-address=192.168.20.0/24 action=drop comment="Blokkeer gasten naar IoT/camera’s"
2️⃣ Sta internet wel toe voor gasten
Dit is standaard als je niets blokkeert richting WAN (of voeg eventueel een expliciete accept toe):
add chain=forward src-address=192.168.30.0/24 out-interface-list=WAN action=accept comment="Gasten mogen naar internet"
3️⃣ (Optioneel) Blokkeer verkeer tussen gasten onderling (client isolation)
Wil je niet dat gasten elkaar kunnen zien (extra veilig in appartementen, B&B’s, kantoor)?
add chain=forward src-address=192.168.30.0/24 dst-address=192.168.30.0/24 action=drop comment="Gasten mogen elkaar niet zien"
4️⃣ (Optioneel) Log en controleer
Tijdelijk loggen wat er geblokkeerd wordt:
add chain=forward src-address=192.168.30.0/24 dst-address=192.168.10.0/24 action=log log-prefix="GUEST2LAN: "
💡 Samengevat:
- Gasten zijn geïsoleerd, kunnen niet bij jouw devices.
- Je intern netwerk blijft veilig, ook bij onbekende of onveilige toestellen op gast-wifi.
- Je behoudt volledige controle over wie waartoe toegang krijgt.
❓ Veelgestelde vragen over gastnetwerken
1️⃣ Kunnen gasten printen op mijn netwerkprinter?
- Standaard: Nee, als je verkeer tussen gast- en LAN blokkeert, kunnen gasten niet printen.
- Oplossing: Wil je printen wel toestaan, maak dan een accept-regel vóór de drop-regel, bijvoorbeeld:
/ip firewall filter add chain=forward src-address=192.168.30.0/24 dst-address=192.168.10.50 action=accept comment="Gasten mogen printen op printer"
Let op: Nu is alleen de printer (192.168.10.50) bereikbaar, maar verder niets.
2️⃣ Mag een Chromecast zichtbaar zijn voor gasten?
Dat hangt af van je wensen en opstelling:
- Chromecast werkt op discovery via multicast/broadcast. Als je verkeer tussen gast- en LAN blokkeert, zal Chromecast niet zichtbaar zijn voor gasten.
- Wil je toch dat gasten kunnen casten? Zet de Chromecast dan in het gastnetwerk, of maak een strikt beperkte accept-regel:
/ip firewall filter add chain=forward src-address=192.168.30.0/24 dst-address=192.168.10.60 action=accept comment="Gasten mogen casten naar Chromecast"
(Vervang 192.168.10.60 door het Chromecast IP.)
3️⃣ Kunnen gasten elkaars apparaten zien?
Nee, niet als je verkeer tussen gasten blokkeert (zie stap 5 van het scenario). Let op: Sommige AP’s hebben een extra optie voor “client isolation” die je ook moet inschakelen!
4️⃣ Kan ik tijdsrestricties instellen voor het gastnetwerk?
Dat kan! Je kunt met MikroTik “scheduler” regels verkeer toestaan of blokkeren op bepaalde tijden. Er is al een voorbeeld gemaakt op dit blog.
5️⃣ Moeten gasten een apart wachtwoord hebben?
Absoluut! Geef altijd een ander, sterk wachtwoord voor het gastnetwerk dan voor je hoofdnetwerk. Gebruik WPA2 of WPA3, geen open wifi.
6️⃣ Kan ik het gastnetwerk beperken in snelheid?
Ja, via “Simple Queue” of “Queue Tree” kun je het gastnetwerk beperken in bandbreedte, zodat je eigen netwerk altijd voorrang heeft.
7️⃣ Wat als gasten toch “rare dingen” proberen?
Zet logging aan voor verdachte activiteiten, en pas je firewallregels aan als je opvallend verkeer ziet. Je blijft zelf altijd in controle!
🏠 Scenario: Smart Home-netwerk isoleren en beveiligen
📝 Situatie
- Je hebt een groep smart home apparaten (bv. lampen, Google Home, slimme thermostaat) in één subnet/VLAN, bv. 192.168.40.0/24
- Je interne netwerk is bv. 192.168.10.0/24
Je wilt:
- Dat smart devices wel internettoegang hebben (voor cloud-services)
- Ze mogen niet bij je LAN of elkaars apparaten (tenzij strikt noodzakelijk)
- Optioneel: Alleen je smartphone of beheer-pc mag ze lokaal bedienen
1️⃣ Geef smart devices een eigen subnet of VLAN
Bijvoorbeeld op je router: smart-home VLAN, 192.168.40.0/24
2️⃣ Blokkeer verkeer van smart home naar je LAN (en omgekeerd)
/ip firewall filter add chain=forward src-address=192.168.40.0/24 dst-address=192.168.10.0/24 action=drop comment="Smart home → LAN blokkeren" add chain=forward src-address=192.168.10.0/24 dst-address=192.168.40.0/24 action=drop comment="LAN → smart home blokkeren"
3️⃣ Sta internetverkeer toe voor smart devices
add chain=forward src-address=192.168.40.0/24 out-interface-list=WAN action=accept comment="Smart home mag naar internet"
4️⃣ (Optioneel) Sta alleen je eigen toestel toe als beheer
Wil je alleen je eigen smartphone (192.168.10.200) toestaan om je smart home-lampen te bedienen?
add chain=forward src-address=192.168.10.200 dst-address=192.168.40.0/24 action=accept comment="Beheer toestel mag smart home bedienen"
Voeg deze regel boven de drop-regel toe.
5️⃣ (Optioneel) Blokkeer verkeer tussen smart devices onderling (client isolation)
Wil je niet dat devices elkaar kunnen “zien” (veilig bij onbekende merken)?
add chain=forward src-address=192.168.40.0/24 dst-address=192.168.40.0/24 action=drop comment="Smart home: onderling verkeer blokkeren"
Let op: sommige apparaten (zoals multiroom speakers) hebben wel intern verkeer nodig. Test grondig wat werkt!
6️⃣ (Optioneel) Log afwijkend verkeer
add chain=forward src-address=192.168.40.0/24 action=log log-prefix="SMART HOME: "
💡 Samengevat:
- Je smart home apparaten zijn afgeschermd van je LAN en van elkaar (indien gewenst).
- Alleen jouw eigen device mag lokaal beheren (optioneel).
- Internetverkeer blijft mogelijk voor updates/cloud-diensten.
- Maximale controle, minimale risico’s.
❓ Veelgestelde vragen over smart home-netwerken (MikroTik)
1️⃣ Kan ik apparaten als Google Home, Alexa of HomeWizard in een apart subnet plaatsen?
Ja! Dit is zelfs aangeraden voor je veiligheid en privacy. Zet alle smart devices in bv. 192.168.40.0/24 of een eigen VLAN. Zo voorkom je dat ze je LAN kunnen benaderen.
2️⃣ Kunnen mijn smart devices nog met de cloud praten?
Ja, zolang je ze internettoegang geeft (zie firewall-regel 3 hierboven). Let op: als je verkeer beperkt tot specifieke domeinen/IP’s (extra veilig), kan het zijn dat sommige functies niet meer werken. Test altijd grondig.
3️⃣ Hoe kan ik HomeWizard veilig gebruiken?
- Plaats HomeWizard in het smart home subnet.
- Geef HomeWizard toegang tot internet (meestal vereist).
- Wil je lokaal uitlezen met de HomeWizard app? Sta dan alleen je eigen toestel toe:
/ip firewall filter add chain=forward src-address=192.168.10.200 dst-address=192.168.40.50 action=accept comment="Beheer toestel mag HomeWizard benaderen"
(Vervang 192.168.40.50 door het HomeWizard IP-adres.)
4️⃣ Kan ik smart home devices onderling isoleren?
Ja. Zie stap 5 van het scenario hierboven. Dit verhoogt je netwerkbeveiliging.
5️⃣ Wat als mijn app/multicast niet werkt?
Sommige apparaten (Sonos, Hue, Chromecast, HomeWizard P1) hebben broadcast/multicast of mDNS nodig voor discovery. Oplossing: Sta tijdelijk onderling verkeer toe tijdens configuratie, of gebruik een mDNS-repeater/reflector (voor gevorderden).
6️⃣ Moet ik poort-forwarding instellen voor smart home?
Bijna nooit! Moderne cloud apparaten maken zelf outbound verbindingen.
Alleen toestellen met “legacy” webinterfaces vereisen soms poort forwarding, maar doe dit zeer voorzichtig en liefst alleen na IP-whitelisting.
Persoonlijk advies: Gebruik een VPN in plaats van port-forwarding dit is veiliger.
7️⃣ Hoe zie ik wat mijn smart devices allemaal proberen te doen?
Gebruik logging:
/ip firewall filter add chain=forward src-address=192.168.40.0/24 action=log log-prefix="SMART HOME: "
📺 Scenario: Smart TV’s enkel toegang tot streamingdiensten, niet tot lokale shares
📝 Situatie
- Je Smart TV’s zitten in een apart subnet, bijvoorbeeld 192.168.50.0/24
- Je interne netwerk (met shares, NAS, enz.) is 192.168.10.0/24
Je wilt:
- TV’s mogen wél naar internet en specifieke streaming servers
- TV’s mogen niet bij je LAN, NAS, of andere devices
1️⃣ Blokkeer alle verkeer van TV subnet naar je LAN
/ip firewall filter add chain=forward src-address=192.168.50.0/24 dst-address=192.168.10.0/24 action=drop comment="TV's blokkeren naar LAN" add chain=forward src-address=192.168.50.0/24 dst-address=192.168.20.0/24 action=drop comment="TV's blokkeren naar IoT"
2️⃣ Sta alleen verkeer toe naar de juiste streamingdiensten (optioneel, geavanceerd)
- Voor veelgebruikte streamingdiensten kan je IP-ranges vinden op hun websites, of via DNS-resolutie.
- Voorbeeld: Netflix (IP-range fictief!), YouTube, enz.
/ip firewall address-list add address=52.12.34.0/24 list=streaming add address=142.250.0.0/15 list=streaming # Google/YouTube /ip firewall filter add chain=forward src-address=192.168.50.0/24 dst-address-list=streaming action=accept comment="TV's mogen streamingdiensten bereiken"
Let op: IP-adressen van streamingdiensten veranderen soms. Regelmatig updaten is aan te raden.
3️⃣ Sta verkeer toe naar het internet (minimaal nodig voor update servers, tijdsync enz.)
Wil je alles buiten het LAN toelaten, maar geen lokale shares? Voeg dan deze toe ná de drop regels:
add chain=forward src-address=192.168.50.0/24 out-interface-list=WAN action=accept comment="TV's mogen naar internet"
Of werk uitsluitend met de address-list uit stap 2 voor maximale controle.
4️⃣ Test en log geblokkeerde pogingen
Wil je zien welke domeinen je TV bezoekt (of probeert te bereiken)? Log verkeer dat geblokkeerd wordt:
add chain=forward src-address=192.168.50.0/24 action=log log-prefix="TV BLOCKED: "
Check het MikroTik log voor ongewenste verbindingen.
❓FAQ en Tips
Kan de TV nog updates uitvoeren?
Ja, zolang je verkeer naar internet (of specifieke update servers) toelaat.
Wat met smart home-integratie (bv. Google Cast)?
Heb je bijvoorbeeld een Chromecast of gebruik je Google Cast? Dan moet je discovery/multicast mogelijk toestaan tussen specifieke apparaten/subnets. Dat kan met een extra accept regel, maar houd het zo beperkt mogelijk.
Tip:
Zorg dat je TV’s niet via UPnP poorten kunnen openen! Zet UPnP uit in MikroTik en op je TV. Meer weten over UPnP op Mikrotik? Bekijk mijn blog over UPnP op MikroTik
🎯 Hoe bepaal je de juiste IP-adressen voor streamingdiensten?
1️⃣ Adressenlijst van de provider meestal voor bedrijven
Sommige streamingdiensten publiceren hun IP-ranges officieel:
- Netflix: https://ipinfo.io/netflix (community project, geen officiële lijst van Netflix zelf!)
- YouTube / Google / Google Play: Google IP-ranges (officieel).
- Amazon Prime Video: AWS IP-ranges (officieel, bevat álle AWS, dus veel te groot!)
- Disney+: Disney+ maakt gebruik van verschillende CDN netwerken (Akamai, Amazon, Fastly).
2️⃣ Handmatige aanpak: DNS lookup en logging
Gebruik een DNS lookup om IP-adressen van streaming domeinen te achterhalen:
nslookup netflix.com nslookup youtube.com nslookup disneyplus.com
Dit geeft een huidig IP, maar providers gebruiken vaak honderden adressen, CDNs, en deze kunnen veranderen.
3️⃣ Logging en leren
- Log het uitgaande verkeer van je Smart TV’s enkele dagen:
/ip firewall filter add chain=forward src-address=192.168.50.0/24 action=log log-prefix="TV OUT: "
- Kijk in de log welke externe IP-adressen je TV’s proberen te bereiken tijdens het gebruik van Netflix, YouTube, enz.
- Voeg deze vervolgens toe aan je address-list:
/ip firewall address-list add address=xxx.xxx.xxx.xxx list=streaming
⚠️ Belangrijke kanttekeningen
- IP-adressen van streamingdiensten wijzigen vaak en gebruiken wereldwijde CDN’s. Een te strikte IP-filter kan ertoe leiden dat je streaming niet meer werkt, of alleen een deel van de tijd.
- Test elke wijziging goed en log altijd eerst.
- Niet alle services zijn makkelijk te filteren op IP. Soms is alleen scheiding via subnetten en firewall voldoende realistisch.
✅ Samenvatting & Praktische tip
- Begin met een apart subnet voor je TV’s en blokkeer alles richting je LAN.
- Wil je maximaal beperken? Start met logging en voeg na verloop van tijd alleen de echt benodigde adressen toe.
- Houd er rekening mee dat updates van je TV of nieuwe apps mogelijk niet meteen werken als ze buiten de gefilterde ranges vallen.
🛡️ Scenario: Alle verkeer naar onbekende DNS-servers blokkeren (DNS filtering)
📝 Situatie
- Je wilt dat alle apparaten in je netwerk uitsluitend de DNS-servers van je eigen keuze (bijv. je router, Pi-hole, Quad9, Cloudflare…) mogen gebruiken.
- Verkeer naar alle andere DNS servers (meestal UDP en TCP poort 53, soms ook 853 voor DNS over TLS) wil je blokkeren.
- Zo voorkom je “DNS leaks”, tracking en omzeilen van ouderlijk toezicht.
1️⃣ Zet de gewenste DNS-server(s) op een adreslijst
Bijvoorbeeld je eigen router (192.168.10.1) en Pi-hole (192.168.10.2):
/ip firewall address-list add address=192.168.10.1 list=toegestane-dns add address=192.168.10.2 list=toegestane-dns # Voeg eventueel publieke DNS toe (alleen als je die wil toestaan) add address=9.9.9.9 list=toegestane-dns add address=1.1.1.1 list=toegestane-dns
2️⃣ Blokkeer verkeer naar andere DNS-servers
Voeg deze regels toe aan je firewall (boven de algemene accept regels):
/ip firewall filter add chain=forward protocol=udp dst-port=53 dst-address-list=!toegestane-dns action=drop comment="Blokkeer UDP DNS naar onbekende servers" add chain=forward protocol=tcp dst-port=53 dst-address-list=!toegestane-dns action=drop comment="Blokkeer TCP DNS naar onbekende servers"
Wil je ook DNS over TLS blokkeren (poort 853)?
3️⃣ (Optioneel) Sta DNS alleen toe via je router
Wil je dat AL het DNS-verkeer via je MikroTik router loopt? Sta dan alleen verkeer toe naar het router adres, en blokkeer alles erna:
/ip firewall filter add chain=forward protocol=udp dst-port=53 dst-address-list=toegestane-dns action=accept comment="Sta DNS alleen toe naar eigen router/Pi-hole" /* plaats deze vóór de drop-regels */
4️⃣ (Optioneel) Log blokkeringen
Zo kun je makkelijk achterhalen of bepaalde apparaten toch andere DNS-servers proberen te bereiken:
add chain=forward protocol=udp dst-port=53 dst-address-list=!toegestane-dns action=log log-prefix="Blokkeerde DNS:"
💡 Samengevat:
- Alleen door jou gekozen DNS-servers zijn bereikbaar.
- Je voorkomt dat apparaten of apps stiekem eigen DNS gebruiken.
- Draagt bij aan privacy, filtering en security.
❓ Veelgestelde vragen
Wat als een apparaat toch geen internet meer heeft?
Check of het apparaat een ongeoorloofde DNS-server probeert te gebruiken, of pas je allow list tijdelijk aan voor test doeleinden.
Kan ik dit combineren met Pi-hole of AdGuard Home?
Absoluut, die servers voeg je toe aan de toegestane lijst en je hebt optimale filtering en logging.
📧 Voorbeeld: Alleen geautoriseerde mailservers toestaan (poort 587)
1️⃣ Voeg toegestane mailservers toe aan de address-list
/ip firewall address-list add list=mail-servers address=smtp.proximus.be add list=mail-servers address=smtp.gmail.com add list=mail-servers address=smtp.office365.com
(FQDN werkt enkel op RouterOS v7; bij RouterOS v6 geef je enkel IP’s op.)
2️⃣ Sta alleen deze mailservers toe op poort 587 (SMTP)
/ip firewall filter add chain=forward protocol=tcp dst-port=587 dst-address-list=mail-servers action=accept comment="SMTP submission alleen via toegestane servers"
3️⃣ Blokkeer alles wat niet in de lijst staat:
/ip firewall filter add chain=forward protocol=tcp dst-port=587 dst-address-list=!mail-servers action=drop comment="Blokkeer submission naar onbekende servers"
➕ Extra: Voeg logging toe voor mislukte pogingen:
add chain=forward protocol=tcp dst-port=587 dst-address-list=!mail-servers action=log log-prefix="SMTP SUB BLOCKED: "
🌐 Wat betekent “Gebruik FQDN’s” in je address-list?
FQDN staat voor Fully Qualified Domain Name, oftewel de volledige domeinnaam van een server (zoals imap.gmail.com of smtp.protonmail.com).
Met MikroTik RouterOS v7 kun je rechtstreeks een FQDN toevoegen aan een address-list, in plaats van enkel een (vaak wisselend) IP-adres. MikroTik resolveert dan zelf automatisch naar het juiste IP-adres, en houdt dat bij als het verandert.
🟦 Waarom is dit zo handig?
- Flexibel: Providers kunnen het IP-adres van hun servers wijzigen, maar de FQDN blijft altijd hetzelfde.
- Altijd actueel: MikroTik past de address-list automatisch aan als het IP-adres van de FQDN wijzigt (DNS TTL).
- Ideaal voor cloud, DDNS, en grote providers: Je hoeft niet handmatig IP-adressen te controleren of te wijzigen.
👨💻 Praktisch voorbeeld
/ip firewall address-list add list=mail-servers address=imap.gmail.com add list=mail-servers address=smtp.protonmail.me
- Na toevoegen: MikroTik zet deze domeinnamen om naar de bijhorende IP’s. Zijn er meerdere IP’s? Dan komen ze allemaal in de lijst.
⚠️ Opgelet
- Alleen beschikbaar op RouterOS v7 en nieuwer!
- Vertrouw je enkel op IP’s (RouterOS v6), dan moet je IP-adressen handmatig bijwerken als ze wijzigen.
❓ Moet je iets speciaals instellen om FQDN in address-lists te gebruiken?
- Nee, je hoeft geen aparte instelling te activeren! Zodra je RouterOS v7 of nieuwer draait, kun je rechtstreeks FQDN’s toevoegen aan address-lists.
- MikroTik regelt zelf de DNS-resolutie en voegt automatisch het juiste IP-adres toe (en verwijdert/ververst het als de DNS verandert).
👇 Zo voeg je een FQDN toe:
/ip firewall address-list add list=mail-servers address=imap.proton.me
⚡ Tip:
Test het gerust door na enkele minuten te kijken met:
/ip firewall address-list print where list=mail-servers
Je ziet dan het bijbehorende IP-adres verschijnen.
📝 Kort samengevat:
FQDN’s werken direct, geen extra instellingen nodig, gewoon toevoegen aan je address-list! De MikroTik firewall address-list regelt alles.
📥 Voorbeeld: Alleen geautoriseerde mailservers toestaan voor IMAP en POP
1️⃣ Voeg toegestane mailservers toe:
/ip firewall address-list add list=mail-servers address=imap.proximus.be add list=mail-servers address=imap.gmail.com add list=mail-servers address=imap-mail.outlook.com add list=mail-servers address=pop.proximus.be add list=mail-servers address=pop.gmail.com add list=mail-servers address=pop-mail.outlook.com
2️⃣ Sta alleen deze servers toe op IMAP (poort 993) en POP (poort 995):
/ip firewall filter add chain=forward protocol=tcp dst-port=993 dst-address-list=mail-servers action=accept comment="IMAP SSL alleen via toegestane servers" add chain=forward protocol=tcp dst-port=995 dst-address-list=mail-servers action=accept comment="POP3 SSL alleen via toegestane servers"
3️⃣ Blokkeer alle andere verbindingen:
/ip firewall filter add chain=forward protocol=tcp dst-port=993 dst-address-list=!mail-servers action=drop comment="Blokkeer IMAP SSL naar onbekende servers" add chain=forward protocol=tcp dst-port=995 dst-address-list=!mail-servers action=drop comment="Blokkeer POP3 SSL naar onbekende servers"
➕ Extra: Werk je met webmail of ProtonMail Bridge? Voeg dan enkel 127.0.0.1 of het lokale IP-adres van je Bridge-software toe. Externe IMAP/POP-verbindingen zijn dan niet nodig.
📝 Afsluiting
Met deze praktische scenario’s en duidelijke voorbeelden kun je zelf aan de slag om je MikroTik netwerk veiliger, overzichtelijker en gebruiksvriendelijk te maken. Of het nu gaat om het isoleren van je gastnetwerk, smart home, of het beperken van je smart TV’s, je hebt nu alle tools in handen. Heb je vragen, eigen tips of ervaringen, of liep je ergens tegenaan tijdens het instellen? Laat het gerust weten, neem contact op, ik help je graag verder.
Blijf op de hoogte van nieuwe video tutorials
