+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Захожу на веб-страницу MT.

Захожу на веб-страницу MT., RouterOS

GJS

Guest

06.09.2004 13:41:00

Я бы хотел, чтобы веб-страница MT не отображалась для людей, заходящих по публичному адресу моих роутеров, но при этом чтобы WinBox мог работать по публичному адресу. Возможно ли это? В идеале, я бы хотел иметь возможность перенаправлять на внешний сайт. Спасибо, Guy.

lastguru

Guest

06.09.2004 19:15:00

Настрой прозрачный прокси на том же роутере для обработки HTTP-запросов. Тогда можно будет поиграть со списком доступа, чтобы разрешать только запросы, содержащие "winbox" в названии. Кстати, мне кажется, версия 2.9 уже не требует HTTP, так что можно вообще отключить (я не проверял, но так я понял из changelog).

dwright Guest	#3 0 06.09.2004 22:01:00 Мы просто ставим правило файрвола, чтобы разрешить подключение к Winbox только с определенных IP-адресов из нашей сети. Если мы находимся вне сети, подключаемся через VPN. Дэн.

GJS

Guest

07.09.2004 14:57:00

Эмм, что не так с этим правилом? Кажется, оно ничего не делает: [admin@pad001X] ip firewall rule input> print detail Flags: X - disabled, I - invalid, D - dynamic 0 ;;; Drop all HTTP connections to router dst-address=:80 protocol=tcp action=drop log=yes [admin@pad001X] ip firewall rule input> Я думал, отключу весь веб-доступ к роутеру, а потом буду включать и отключать правило через telnet, когда захочу зайти через Winbox. Просто как временный фикс, пока я разбираюсь с веб-прокси. Спасибо, Guy

dwright Guest	#5 0 07.09.2004 17:07:00 Убедитесь, что правило добавлено в цепочку ввода. Из руководства: чтобы защитить маршрутизатор от несанкционированного доступа, необходимо фильтровать все пакеты с адресами назначения маршрутизатора и принимать только разрешенные. Поскольку все пакеты с адресом назначения к адресу маршрутизатора обрабатываются в цепочке ввода, можно добавить следующие правила: /ip firewall rule input add protocol=tcp connection-state=established comment=“Allow established TCP connections” add protocol=udp comment=“Allow UDP connections” add protocol=icmp comment=“Allow ICMP messages” add src-addr=10.5.8.0/24 comment=“Allow access from ‘trusted’ network 10.5.8.0/24” add action=reject log=yes comment=“Reject and log everything else” Таким образом, цепочка ввода будет принимать только разрешенные соединения и отклонять, а также логировать всё остальное. Можно убрать правило src-addr и добавить эти два правила. #Это нужно для разрешения трафика по 80 порту. Включайте это, когда хотите подключиться. Должно быть перед последней строкой внизу add protocol=tcp comment"Allow port 80 traffic" dst-address=:80 #Это разрешит ssh трафик, чтобы вы могли зайти и включить/выключить правило трафика по 80 порту. Должно быть перед последней строкой тоже внизу. add protocol=tcp comment"Allow ssh traffic" dst-address=:22 Я бы также рекомендовал вам не использовать ssh вместо telnet. Telnet не имеет шифрования и отправляет ваш пароль открытым текстом. Выключите службу telnet. Если вы используете Windows, вот ssh клиент для Windows. Dan

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры