+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Заблокируй все порты, кроме 80 и 1723.

Заблокируй все порты, кроме 80 и 1723., RouterOS

niren

Guest

25.11.2013 11:44:00

Заблокируй все порты, кроме 80 и 1723. Как это сделать? Я пробовал эти коды, чтобы заблокировать все, кроме 80: `/ip firewall filter`
add chain=forward action=accept src-address=192.168.0.0/24 protocol=tcp dst-port=80
add chain=forward action=accept dst-address=192.168.0.0/24 protocol=tcp src-port=80
add chain=forward action=drop. После того, как я включил эти правила, я не могу зайти в интернет. Как только я отключаю последнее правило, я снова могу зайти в интернет.

Thasaidon

Guest

25.11.2013 12:54:00

Скорее всего, просмотр веб-страниц не работает, потому что ты не разрешаешь DNS. Если ты вводишь http://somehere.net в браузере, то ему нужно разрешить FQDN в IP-адрес через DNS. Так что если ты разрешаешь только http (tcp 80), тебе либо использовать IP-адреса для каждой страницы, которую ты хочешь посетить (например, http://12.23.34.45), либо разрешить DNS (tcp/53 & udp/53) проходить через файрвол тоже.

efaden

Guest

25.11.2013 13:09:00

+1… ещё один вариант — блокировать DNS, как вы делаете в цепочке перенаправления, но убедитесь, что DNS-сервер настроен непосредственно на Mikrotik и разрешены удалённые запросы. Выкладывайте всю конфигурацию, если возникнут проблемы с настройкой.

niren

Guest

25.11.2013 15:34:00

Работает по этим правилам: add chain=forward action=accept protocol=tcp dst-port=80 comment="Allow HTTP"
add chain=forward action=accept protocol=tcp scr-port=80 comment="Allow HTTP"
add chain=forward action=accept protocol=tcp dst-port=443 comment="Allow HTTPS"
add chain=forward action=accept protocol=tcp scr-port=443 comment="Allow HTTPS"
add chain=forward protocol=udp comment="allow udp"
add chain=forward action=drop comment="drop everything else" У меня ещё одна проблема, пожалуйста, проверьте мой следующий вопрос http://forum.mikrotik.com/t/block-rdp-connections-except-over-vpn/71868/1

troy

Guest

25.11.2013 16:20:00

Добавь правило: chain=forward action=accept protocol=tcp dst-port 3389 in-interface=VPN comment=“Allow RDP via VPN”. Если не против совета… удели время изучению базовой документации по файрволу в вики. Также поищи разные скрипты для файрвола. ИМХО, файрволы обычно используются для защиты локальной сети от внешней, не слишком сильно ограничивая действия пользователей. Судя по твоим сообщениям, ты хочешь наложить серьезные ограничения на то, что могут делать пользователи, что нормально, но часто это намного сложнее реализовать. Закрытый файрвол (default drop) выглядит примерно так: drop invalid connections allow established connections allow related connections drop undesirable connections (которые иначе могли бы быть разрешены в #5) allow the good stuff (tcp/53, udp/53, http/80, https/443, pop3/110, smtp/25 и т.д…) drop everything else (последнее правило). Когда нужно разрешить определенный трафик, но только из определенных источников, используй правило: add chain=forward action=accept protocol=tcp dst-port=3389 in-interface=VPN add chain=forward action=accept protocol=tcp dst-port=3389 src-address=go.od.add.res/32.

Так, твой прототип файрвола, чтобы максимально ограничить пользователей, может выглядеть так: /ip firewall filter add chain=forward protocol=tcp connection-state=invalid action=drop comment=“drop invalid connections” add chain=forward connection-state=established action=accept comment=“allow already established connections” add chain=forward connection-state=related action=accept comment=“allow related connections” add chain=forward action=accept protocol=tcp dst-port=53 in-interface=LAN comment “allow DNS” add chain=forward action=accept protocol=udp dst-port=53 in-interface=LAN comment “allow DNS” add chain=forward action=accept protocol=tcp dst-port=80 in-interface=LAN comment “allow HTTP” add chain=forward action=accept protocol=tcp dst-port=443 in-interface=LAN comment “allow HTTPS” add chain=forward action=accept protocol=tcp dst-port=3389 in-interface=VPN comment “allow RDP via VPN” add chain=forward action=drop.

Пожалуйста, просмотри статью о файрволе в вики, там много полезной информации. Если тебе не терпится (как мне), используй этот код как отправную точку и развивайся дальше, но не рассчитывай на слишком много помощи, кроме самых основ. Удачи!

niren Guest	#6 0 25.11.2013 20:43:00 @troy огромное спасибо. Работает. Нужно будет почитать вики-документацию, как ты и сказал.

kei888 Guest	#7 0 27.10.2014 01:20:00 Привет! У меня почти такая же проблема с моим роутером RB951G-2HnD, просто хочу, чтобы он разрешал все порты. Может, кто-нибудь скинет скрипт для моего Mikrotik, чтобы разрешить ВСЕ порты, особенно порт 22? Спасибо.

bingo220 Guest	#8 0 27.10.2014 13:15:00 Чтобы открыть все порты, правила не нужны.

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры