MikroTik – Bloqueando acessos desnecessários à subrede WAN

Em algumas situações, a WAN do MikroTik não é uma rede dedicada apenas para o tráfego de internet, mas sim uma subrede dentro da rede do provedor. Isso significa que os dispositivos da sua LAN poderiam, inadvertidamente, alcançar outros hosts que estão na mesma faixa da WAN, gerando riscos de segurança.

O ideal é permitir apenas os IPs essenciais (gateway e servidor DNS, por exemplo) e bloquear todo o restante da faixa.


Cenário

  • WAN: 10.0.0.0/24
  • Gateway: 10.0.0.1
  • DNS do provedor: 10.0.0.137
  • LAN (bridge-local): 192.168.88.0/24

Regras de Firewall

/ip firewall filter
add chain=forward in-interface=bridge-local dst-address=10.0.0.1 action=accept comment="Permitir acesso ao Gateway WAN"

add chain=forward in-interface=bridge-local dst-address=10.0.0.137 action=accept comment="Permitir acesso ao DNS WAN"

add chain=forward in-interface=bridge-local dst-address=10.0.0.0/24 action=drop comment="Bloquear outros acessos na subrede WAN"

Explicação das Regras

  1. Permitir GW WAN
    • Libera o acesso ao gateway do provedor. Sem isso, a RB não teria como encaminhar pacotes para fora.
  2. Permitir DNS WAN
    • Permite a resolução de nomes diretamente no DNS do provedor.
  3. Bloquear resto da faixa 10.0.0.0/24
    • Garante que nenhum outro host na mesma rede da WAN seja acessível pela LAN.

Considerações Importantes

  • Essa técnica isola a WAN como se fosse apenas um ponto de passagem para a internet, eliminando curiosidades indesejadas dentro da rede do provedor.
  • Se você usa outro servidor DNS (como 8.8.8.8 ou 1.1.1.1), basta não liberar o DNS do provedor.
  • Se houver mais serviços que realmente precisem da subrede WAN (pouco provável), eles devem ser liberados individualmente antes da regra de DROP.

Conclusão

Ao aplicar esse tipo de filtro, você mantém a segurança da sua rede mesmo quando a WAN está exposta em uma subrede compartilhada.
Esse isolamento é uma boa prática para evitar problemas como acesso não autorizado, varreduras de rede e até ataques internos vindos da rede do provedor.

Rolar para cima