+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Использование функции брандмауэра Mikrotik

Использование функции брандмауэра Mikrotik, RouterOS

msusmani

Guest

30.06.2018 18:52:00

Привет, участники! Недавно я купил RB750 для использования в офисе. В офисе у меня установлен интернет-роутер с двумя LAN-портами. Первый LAN-порт подключен к Wi-Fi устройству, чтобы пользователи могли выходить в интернет. Со второго LAN-порта мне нужно подключить устройство, которое должно связаться со своим аналогом, установленным в главном офисе, при этом устройство главного офиса должно иметь возможность подключаться к моему устройству. Устройство главного офиса доступно глобально. Сейчас я хочу настроить mikrotik так, чтобы у моих пользователей оставался доступ в интернет, а мое устройство было доступно через интернет, но принимало подключения только от устройства главного офиса. Все остальные запросы к моему устройству должны блокироваться. Может кто-то помочь с настройкой в такой ситуации? Usmani

msusmani

Guest

26.07.2018 11:11:00

Дорогие коллеги!
Ниже приведена моя конфигурация Mikrotik. Я подключил роутер провайдера к WAN-порту Mikrotik. Теперь мне нужно настроить правила файрвола, чтобы пользователи с настольных компьютеров могли выходить в интернет.

Кроме того, сервер, подключённый к интерфейсу 2 Mikrotik, должен иметь доступ только к серверу с адресом 43.240.95.96, а весь остальной трафик необходимо сбрасывать. Также этот сервер должен принимать запросы только с 43.240.95.96 и отклонять все остальные.

Прошу помочь с настройкой файрвола.

[admin@MikroTik] > export
26 июля 2018 15:02:35, RouterOS 6.42.6
software id = 6MP5-PTVK
model = RouterBOARD 750 r2
серийный номер = 63BD05F385CE

/interface bridge
add name=bridge1_INTERNET

/interface ethernet
set [ find default-name=ether1 ] name="ether1-WAN Port"
set [ find default-name=ether2 ] name="ether2_Server"
set [ find default-name=ether5 ] name="ether5_desktop Users"

/interface list
add name=WAN
add name=LAN

/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik

/ip hotspot profile
set [ find default=yes ] html-directory=flash/hotspot

/ip pool
add name=dhcp_pool1 ranges=192.168.10.2-192.168.10.254

/ip dhcp-server
add address-pool=dhcp_pool1 disabled=no interface="ether5_desktop Users" name=dhcp1

/interface bridge port
add bridge=bridge1_INTERNET interface="ether1-WAN Port"
add bridge=bridge1_INTERNET interface="ether2_Server"

/interface list member
add interface="ether1-WAN Port" list=WAN
add interface="ether2_Server" list=LAN
add interface=ether3 list=LAN
add interface=ether4 list=LAN
add interface="ether5_desktop Users" list=LAN

/ip address
add address=103.244.135.170/29 interface=bridge1_INTERNET network=103.244.135.168
add address=192.168.10.1/24 interface="ether5_desktop Users" network=192.168.10.0

/ip dhcp-server network
add address=192.168.10.0/24 gateway=192.168.10.1

/ip dns
set servers=172.30.152.140,172.30.152.141

/ip firewall nat
add action=masquerade chain=srcnat out-interface=bridge1_INTERNET

/ip route
add distance=1 gateway=103.244.135.169

/ip service
set telnet disabled=yes
set ftp disabled=yes
set ssh disabled=yes

/system clock
set time-zone-name=Asia/Dubai

/system routerboard settings
set silent-boot=no

[admin@MikroTik] >

С уважением!

mkx

Guest

26.07.2018 11:52:00

Решение вашей проблемы во многом зависит от IP-адреса, который использует ваш сервер (подключённый к ether2). Если это какой-то приватный IP-адрес, то решение будет совершенно другим по сравнению с ситуацией, когда сервер использует публичный IP-адрес. Чтобы настроить фаерволл и контролировать трафик вашего сервера, скорее всего, придётся убрать bridge1_INTERNET и настраивать всё напрямую на интерфейсах ether.

msusmani Guest	#4 0 26.07.2018 12:39:00 Ethernet 2 получит публичный IP.

msusmani Guest	#5 0 27.07.2018 12:26:00 Да, я буду использовать публичный IP на Ethernet 2. Можешь помочь с настройкой?

msusmani Guest	#6 0 02.08.2018 07:35:00 Привет, участник! Я изменил свою конфигурацию и пытался применить правила фильтрации, но они не работают. В приложении найдешь конфиг, можешь посмотреть и что-то посоветовать? Configuration. MikroTik RouterOS 6.42.6 © 1999-2018 http://www.mikrotik.com/ [admin@MikroTik] > export jul/30/2018 22:10:10 by RouterOS 6.42.6 software id = 6MP5-PTVK model = RouterBOARD 750 r2 serial number = 63BD05F385CE /interface bridge add name=bridge1_Internet /interface ethernet set [ find default-name=ether1 ] name=“ether1_WAN (Connected to ISP Router)” set [ find default-name=ether2 ] name=“ether2 (Connected to Server )” set [ find default-name=ether5 ] name=“ether5 (Desktop Users)” /interface list add name=WAN add name=LAN /interface wireless security-profiles set [ find default=yes ] supplicant-identity=MikroTik /ip hotspot profile set [ find default=yes ] html-directory=flash/hotspot /ip pool add name=dhcp_pool1 ranges=192.168.10.2-192.168.10.254 /ip dhcp-server add address-pool=dhcp_pool1 disabled=no interface=“ether5 (Desktop Users)” lease-time=3d10m name=dhcp1 /interface bridge port add bridge=bridge1_Internet interface=“ether1_WAN (Connected to ISP Router)” add bridge=bridge1_Internet interface=“ether2 (Connected to Server )” /interface bridge settings set use-ip-firewall=yes /interface list member add interface=“ether1_WAN (Connected to ISP Router)” list=WAN add interface=“ether2 (Connected to Server )” list=LAN add interface=ether3 list=LAN add interface=ether4 list=LAN add interface=“ether5 (Desktop Users)” list=LAN /ip address add address=203.244.135.171/29 interface=bridge1_Internet network=203.244.135.168 add address=192.168.10.1/24 interface=“ether5 (Desktop Users)” network=192.168.10.0 /ip dhcp-server network add address=192.168.10.0/24 gateway=192.168.10.1 /ip dns set allow-remote-requests=yes servers=8.8.8.8 /ip firewall filter add action=accept chain=forward dst-port=80,443 out-interface=bridge1_Internet protocol=tcp src-address=192.168.10.0/29 add action=drop chain=forward out-interface=bridge1_Internet src-address=192.168.10.0/29 add action=accept chain=forward connection-state=established,related in-interface=“ether5 (Desktop Users)” add action=accept chain=input in-interface=bridge1_Internet protocol=icmp src-address=83.225.98.42 add action=accept chain=input in-interface=bridge1_Internet protocol=tcp src-address=83.225.98.42 add action=drop chain=input in-interface=bridge1_Internet src-address=0.0.0.0/0 /ip firewall nat add action=masquerade chain=srcnat out-interface=bridge1_Internet /ip route add distance=1 gateway=203.244.135.169 /ip service set telnet disabled=yes set ftp disabled=yes set ssh disabled=yes /system clock set time-zone-name=Asia/Dubai /system routerboard settings [admin@MikroTik] >

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры