Правило фильтрации межсетевого экрана перед правилом NAT

Fewi, извиняюсь, что залезаю в этот старый пост. Но как насчёт 1:1 NAT? У меня сервер Asterisk с приватным IP. Хочу просто разрешить доступ с конкретных IP на сервер извне, не включая Linux firewall. Так как DST-NAT срабатывает первым, нельзя обработать это через правила входящего фаервола. Пробовал использовать цепочку mangle prerouting с маркировкой соединений и пакетов и применять это в правилах фильтрации, но результата нет. Есть ли у тебя какие-то рекомендации по этому поводу? Заранее спасибо.

Фильтрованный NAT Этот параметр определяет, как маршрутизатор обрабатывает входящий трафик. Опция Secure обеспечивает надежный файрвол для защиты компьютеров в сети от интернет-атак, но из-за этого некоторые онлайн-игры, приложения типа «точка-точка» или мультимедийные программы могут не работать. С другой стороны, опция Open предполагает гораздо менее защищённый файрвол, но позволяет почти всем интернет-приложениям функционировать. Вот дополнительные подробности о NAT-фильтрации, которые я нашёл: https://www.vpnranks.com/nat-filtering/

Как насчёт такого варианта: /ip firewall filter add action=drop chain=forward comment="Блокировать новые подключения из интернета, которые не проходят через dst-nat" connection-nat-state=!dstnat connection-state=new in-interface=WAN

Возвращаюсь к старой теме, но нигде не смог легко найти эту информацию и решил добавить её для помощи другим в будущем. Это работает в версии 7.7 в 2023 году; Использование RAW-правила после добавления в список блокировки.

Похожая проблема — хотим блокировать brute force. Вместо блокировки одного порта, если IP — злоумышленник, надо заблокировать его полностью. Правила add to src-address-list должны быть в цепочке forward и использовать порт назначения в NAT-правиле. Например, если внешний порт 999 NATится на внутренний 192.168.1.1 порт 80, то в правиле нужен порт 80:

add chain=forward protocol=tcp dst-port=80 connection-state=new action=add-src-to-address-list address-list=block_stage1 address-list-timeout=1m comment="" disabled=no

Это добавит и продвинет IP.

Теперь по блокировке: правило блокировки работает в цепочке FORWARD с src-address-list=blocked_addresses.

add chain=forward src-address-list=blocked_addresses action=drop comment="drop blocked" disabled=no

Но этот IP всё равно может сканировать или пытаться перебрать порты на самом роутере (например, порт 8291, 22 если открыт и т.д.).

Поэтому можно добавить ещё одно блокирующее правило в цепочку input. Мы обнаружили, что добавление RAW-правила гораздо лучше — оно останавливает всю дальнейшую обработку и пакеты от заблокированных IP.

/ip/firewall/raw  
add chain=prerouting action=drop in-interface=ether1 src-address-list=blocked_addresses

Кто-то видит проблему в таком подходе? Кажется самым эффективным и безопасным способом блокировки трафика.

При этом в RAW-правилах нельзя указать connection-state=new, поэтому нельзя строить блокирующие правила напрямую в RAW-таблице (иначе будет срабатывать на каждый пакет на этот порт). Поэтому оптимально иметь два набора правил для добавления в blocked_addresses в цепочках FORWARD и INPUT:

add chain=input protocol=tcp dst-port=80 connection-state=new action=add-src-to-address-list address-list=block_stage1 address-list-timeout=1m comment="" disabled=no

Ещё идея — добавить несколько портов для ловли «плохих» сканеров, например, порты 21, 22, 80 и так далее, в INPUT и добавлять их в эскалационные списки blocked_addresses.

Есть ли ошибки в моих предположениях и правилах выше? Есть ли более эффективный способ сделать это? Спасибо и надеюсь, кому-то это поможет.