+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Как разрешить PPTP на брандмауэре?

Как разрешить PPTP на брандмауэре?, RouterOS

hajid

Guest

20.10.2006 01:02:00

Привет всем, пытаюсь настроить файрвол, чтобы разрешить PPTP-соединение. Включил GRE и PPTP на сервисном порту. Затем создал файрвол, чтобы разрешить PPTP-соединение к этому роутеру. Вот моя конфигурация файрвола:

Flags: X - отключено, I - недействительно, D - динамический
0 ;;; Проверка на вирусы
Port chain=input action=jump jump-target=virus
1 chain=forward action=jump jump-target=virus
2 ;;; Разрешить пинг
chain=input protocol=icmp action=accept
3 chain=forward protocol=icmp action=accept
4 ;;; Разрешить установленные соединения
chain=input connection-state=established action=accept
5 chain=forward connection-state=established action=accept
6 ;;; Разрешить связанные соединения
chain=input connection-state=related action=accept
7 chain=forward connection-state=related action=accept
8 ;;; Отбрасывать недействительные соединения
chain=input connection-state=invalid action=drop
9 chain=forward connection-state=invalid action=drop
10 ;;; Из всех сетей
chain=forward src-address-list=Allowed action=accept
11 ;;; Во все сети
chain=forward dst-address-list=Allowed action=accept
12 ;;; Разрешить PPPtP
chain=input protocol=tcp dst-port=1723 action=accept
13 chain=input protocol=tcp dst-port=47 action=accept
14 ;;; Помечать сканеры портов
chain=input protocol=tcp psd=21,3s,3,1 action=add-src-to-address-list address-list=port scanners address-list-timeout=2w
15 chain=forward protocol=tcp psd=21,3s,3,1 action=add-src-to-address-list address-list=port scanners address-list-timeout=2w
16 ;;; NMAP FIN Stealth scan
chain=input protocol=tcp tcp-flags=fin,!syn,!rst,!psh,!ack,!urg action=add-src-to-address-list address-list=port scanners address-list-timeout=2w
17 chain=forward protocol=tcp tcp-flags=fin,!syn,!rst,!psh,!ack,!urg action=add-src-to-address-list address-list=port scanners address-list-timeout=2w
18 ;;; SYN/FIN scan
chain=input protocol=tcp tcp-flags=fin,syn action=add-src-to-address-list address-list=port scanners address-list-timeout=2w
19 chain=forward protocol=tcp tcp-flags=fin,syn action=add-src-to-address-list address-list=port scanners address-list-timeout=2w
20 ;;; SYN/RST scan
chain=input protocol=tcp tcp-flags=syn,rst action=add-src-to-address-list address-list=port scanners address-list-timeout=2w
21 chain=forward protocol=tcp tcp-flags=syn,rst action=add-src-to-address-list address-list=port scanners address-list-timeout=2w
22 ;;; FIN/PSH/URG scan
chain=input protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack action=add-src-to-address-list address-list=port scanners address-list-timeout=2w
23 chain=forward protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack action=add-src-to-address-list address-list=port scanners address-list-timeout=2w
24 ;;; ALL/ALL scan
chain=input protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg action=add-src-to-address-list address-list=port scanners address-list-timeout=2w
25 chain=forward protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg action=add-src-to-address-list address-list=port scanners address-list-timeout=2w
26 ;;; Отбрасывать сканеры портов
chain=input src-address-list=port scanners action=drop
27 chain=forward src-address-list=port scanners action=drop
28 ;;; Отбрасывать все остальное
chain=input action=drop
29 chain=forward action=drop

С этим правилом, PPTP-соединение все равно отбрасывается. Поделитесь, пожалуйста, советами.

cmit

Guest

20.10.2006 07:42:00

Ошибка в вашем втором правиле PPTP. Нужно разрешить ip PROTOCOL 47 (GRE), а не TCP порт 47. То есть, должно быть так: 13 chain=input protocol=47 action=accept. TCP порт 1723 – это управляющее соединение, а сам туннель – GRE (протокол 47). С уважением, Christian Meis

jo2jo Guest	#3 0 21.10.2006 14:11:00 Всегда интересно, правило такое же, как включение опций GRE и PPTP в WinBox под IP->Firewall->Service Ports? Какой из них имеет приоритет? (То есть, если я установил отказ в GRE в FW, но включил в WinBox Service Ports?) Спасибо.

cmit Guest	#4 0 21.10.2006 18:06:00 Сервисные порты в разделе брандмауэра нужны только для обхода NAT. Так что ни один из них не имеет приоритета над другим – это два разных понятия. С наилучшими пожеланиями, Christian Meis.

yagamixp Guest	#5 0 01.02.2013 06:51:00 GRE, как использовать ключ?

alstonamos Guest	#6 0 18.04.2016 11:44:00 Так что ни один не имеет приоритет над другим - это же две разные вещи??? ВАЛИД

alstonamos Guest	#7 0 23.04.2016 12:41:00 Тут нет того, что имеет приоритет над другим – это же две разные вещи??? -== кроссворды ==

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры