+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Помогите заблокировать входящие подключения к подсети, используемой для NAT.

Помогите заблокировать входящие подключения к подсети, используемой для NAT., RouterOS

surfnet

Guest

24.10.2006 22:41:00

Я использую подсеть класса C для своей беспроводной сети и использую маскировку для NAT. Хотелось бы заблокировать входящие соединения к моей подсети, поскольку весь трафик должен поступать от клиентов NAT, а не инициироваться из внешнего мира. Я настроил правило файрвола, чтобы отбрасывать пакеты с dst-address моей подсети класса C и состоянием соединения NEW. Я думал, что это не позволит сессиям начинаться извне, позволяя клиенту устанавливать соединения изнутри наружу. Но, похоже, это не сработало, так как телефон начал звонить, и клиент говорит, что не может пользоваться интернетом. ~Ken

janisk Guest	#2 0 25.10.2006 08:12:00 ну, маскировка настроена, какие интерфейсы нужно маскировать? В данном случае - беспроводной и только беспроводной. Так все остальные просто будут отбрасываться.

surfnet

Guest

25.10.2006 13:29:00

Проблема в следующем. Этот маскирующийся IP-адрес – 64.74.213.210. Хочу настроить свой магистральный роутер так, чтобы он не разрешал входящие подключения к этому IP-адресу, предварительно не запустив правило из Wi-Fi роутера. Думал, это сработает: chain=forward dst-address=64.74.213.0/24 connection-state=new action=drop. Но, видимо, не сработало, ведь клиенты начали звонить с жалобами, и когда я отключил правило, все они смогли снова выходить в сеть.

janisk Guest	#4 0 27.10.2006 08:20:00 Во-первых, предлагаю протестировать правила брандмауэра на тестовом клиенте. Во-вторых, попробуй настроить отбрасывание в цепочке INPUT, а не в цепочке FORWARD. Думаю, это поможет.

surfnet

Guest

27.10.2006 13:36:00

Я думал, что входящие пакеты предназначены для самого роутера, а пересылаемые пакеты проходят через роутер. Значит, если изменить направление с "пересылаемые" на "входящие", правило просто не сработает, верно? Поправьте меня, если я не прав.

macgaiver Guest	#6 0 27.10.2006 13:50:00 Отличное правило – теперь невозможно отправлять никакие пакеты основному шлюзу. Используйте только опции "в интерфейсе" или "из интерфейса" в ваших правилах!

surfnet Guest	#7 0 27.10.2006 14:50:00 Позвольте мне немного уточнить мою конфигурацию. Моя беспроводная сеть состоит из 30 Mikrotik, все маршрутизируются с подсетями .252 в классе C 64.74.213.0. Все пользователи работают с NAT и не могут запускать серверные приложения. Когда я смотрю логи, вижу, что люди постоянно пытаются подключиться к моим ssh, telnet и ftp - это можно увидеть по словарным атакам. Поэтому я хочу заблокировать все подключения, которые начинаются снаружи и приходят ко мне. Я хочу разрешать только подключения, которые начинаются изнутри и идут наружу. Основной роутер, который это делает, находится в совершенно другой подсети.

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры