+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Помогите, пожалуйста, с файрволом и статической маршрутизацией публичного IP.

Помогите, пожалуйста, с файрволом и статической маршрутизацией публичного IP., RouterOS

dobria

Guest

16.01.2014 07:37:00

Привет! У меня вопрос по файрволу. У меня сеть с публичными IP-адресами /24. Я настроил (статический роут) первый публичный IP-адрес на интерфейсе LAN и сделал его маршрутом по умолчанию для остальных публичных IP-адресов, которые я использую для локальных серверов. Хотелось бы разрешить перенаправление только определенных портов на эти серверы, находящиеся за роутером. Спасибо!

efaden Guest	#2 0 16.01.2014 17:25:00 Похоже, ты используешь мостовую конфигурацию? … прикрепи схему к своему экспорту. Но если ты используешь мостовую конфигурацию, то можешь использовать bridge-filter. -Eric

dobria

Guest

16.01.2014 22:03:00

Привет, Эрик!

Спасибо за ответ. Да, я использую bridged setup. И с твоей помощью мне удалось добавить правила вроде:

;;; Allow port 3389 chain=forward action=accept protocol=tcp dst-address=X.X.X.X dst-port=3389

;;; Drop All other ports chain=forward action=drop dst-address=X.X.X.X

И это работает правильно, но теперь у сервера нет исходящего соединения. Я попробовал что-то логичное для меня (но явно неправильное), чтобы добавить правило allow для source до drop всех портов, вроде:

;;; Allow all outgoing ports chain=forward action=accept src-address=X.X.X.X

Но похоже, это не работает — трафик с X.X.X.X сервера все равно не выходит. Я не совсем уверен, как выложить схему в моем экспорте. Извини.

efaden Guest	#4 0 16.01.2014 22:30:00 Просто выложи весь свой экспорт… и оберни его тегами ROS-синтаксиса.

dobria

Guest

17.01.2014 16:42:00

# 17.01.2014 18:05:39 по RouterOS 6.7
# software id = XXXX-XXXX
#
/interface bridge
add arp=proxy-arp name=B-LAN
/interface ethernet
set [ find default-name=ether2 ] arp=proxy-arp name=LAN speed=1Gbps
set [ find default-name=ether3 ] arp=proxy-arp name=WAN speed=1Gbps
set [ find default-name=ether1 ] comment="Подключено - отключено" disabled=yes \
name=WAN2
/interface eoip
add arp=proxy-arp mac-address=XX:XX:XX:XX:XX:XX name=T-LAN remote-address=\
10.255.255.2 tunnel-id=XXXXX
/ip neighbor discovery
set WAN2 comment="Подключено - отключено" discover=no
/interface vlan
add arp=proxy-arp interface=B-LAN l2mtu=65531 name=STAFF vlan-id=XXXX
/ip neighbor discovery
set STAFF discover=no
/ip dhcp-server
add add-arp=yes disabled=no interface=STAFF lease-time=1d name=staff-DHCP2 \
src-address=192.168.168.111
/ip pool
add name=users ranges=192.168.0.2-192.168.15.255
add name=staff ranges=192.168.168.10-192.168.168.200
add name=pptp ranges=192.168.1.100-192.168.1.150
/ip dhcp-server
add add-arp=yes address-pool=users disabled=no interface=B-LAN lease-time=\
1w name=staff-DHCP1 src-address=192.168.1.111
/port
set 0 flow-control=hardware name=serial0
/interface bridge port
add bridge=B-LAN interface=LAN
add bridge=B-LAN interface=T-LAN
/interface bridge settings
set use-ip-firewall=yes use-ip-firewall-for-pppoe=yes \
use-ip-firewall-for-vlan=yes
/ip address
add address=192.168.1.111/16 comment=GW interface=LAN network=192.168.0.0
add address=192.168.168.111/24 comment="GW Staff" interface=LAN network=\
192.168.168.0
add address=X.Y.Z.2/24 comment="Публичная LAN" interface=LAN network=\
X.Y.Z.0
add address=X.Y.Z.1/24 comment="Публичная LAN" interface=LAN network=\
X.Y.Z.0
add address=D.E.F.162/30 comment=WAN interface=WAN network=\
D.E.F.160
add address=10.255.255.1/30 comment=EOIP interface=WAN network=10.255.255.0
add address=X.Y.Z.122/24 interface=LAN network=X.Y.Z.0
/ip dhcp-server network
add address=192.168.0.0/16 comment=LAN-users dns-server=\
192.168.1.111,192.168.1.212,192.168.1.124,192.168.1.125 domain=\
domain.local gateway=192.168.1.111
add address=192.168.168.0/24 comment=LAN-users2 dns-server=192.168.168.111 \
gateway=192.168.168.111
/ip dns
set allow-remote-requests=yes cache-size=512KiB max-udp-packet-size=512 \
servers=192.168.1.124,192.168.1.125
/ip firewall address-list
add address=192.168.0.0/16 comment="Моя локальная сеть" list=local-addr
add address=192.168.0.0/16 comment="Мои адреса локальной сети с nat" list=\
nat-addr
/ip firewall connection tracking
set enabled=yes
/ip settings
set tcp-syncookies=yes
/ip firewall filter
add chain=forward comment=Server3 dst-address=A.B.C.3 \
dst-port=80,443,4022 protocol=tcp
add action=drop chain=forward comment=\
"Заблокировать все порты к A.B.C.3" disabled=yes dst-address=\
A.B.C.3
/ip route
add distance=1 gateway=A.B.C.161

efaden

Guest

17.01.2014 16:50:00

Пожалуй, я все еще в замешательстве. Судя по настройкам, ты используешь NAT, а не соединение WAN по мосту. Как твой провайдер тебе эти IP-адреса доставляет?.. И зачем у твоей локальной сети есть и частные, и публичные IP-адреса…

dobria

Guest

17.01.2014 17:09:00

Я использую NAT для приватных IP-адресов (192.168.0.0/16 и тестирую что-то с 192.168.168.0/24), а шлюз – интерфейс LAN. При этом мой провайдер статически маршрутизирует публичные IP-адреса (X.Y.Z.0/24) через /ip address add address=D.E.F.162/30 comment=WAN interface=WAN network= D.E.F.160 [myuser@mtrouter] /ip route> print Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, B - blackhole, U - unreachable, P - prohibit DST-ADDRESS PREF-SRC GATEWAY DISTANCE 0 A S 0.0.0.0/0 D.E.F.161 1 1 ADC 10.255.255.0/30 10.255.255.1 WAN 0 2 ADC 192.168.0.0/16 192.168.1.111 B-LAN 0 4 ADC 192.168.168.0/24 192.168.168.111 B-LAN 0 6 ADC X.Y.Z.0/24 X.Y.Z.1 B-LAN 0 7 ADC D.E.F.160/30 D.E.F.162 WAN 0 Я не знаю, почему экспорт не содержит всю информацию из /ip route. Спасибо ещё раз за ваше время. Надеюсь, смогу предоставить вам необходимую информацию корректно.

efaden Guest	#8 0 17.01.2014 17:14:00 Не знаю почему… но большая часть твоей конфигурации экспорта пропала. Зачем ты запускаешь все эти разные сети на одной сети или порту? Стоит отделить твою “DMZ” от настроек NAT. Выложи весь экспорт, чтобы я увидел правила файрвола… Но судя по тому, как, как я думаю, это настроено, ты можешь просто отбрасывать трафик, который не хочешь пропускать, в цепочке фильтров файрвола.

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры