Настройка белого списка файрвола

Спасибо, @jvanhambelgium. Попробую объяснить с самого начала. У меня есть установка для измерения ветра с помощью лидар-системы, подключённая к спутниковому терминалу BGAN (Cobham Explorer 540). Обычно лидар подключён через сотовую связь и расходует примерно 1 ГБ данных в месяц, так как он в реальном времени передаёт информацию на сервер, что позволяет получить облачный доступ к интерфейсу лидара, а также смотреть текущие данные ветра, настройки, сигналы тревог и т.д. Спутниковый тариф BGAN включает всего 5 МБ в месяц, а сверхлимитные данные стоят очень дорого. Раньше на новых версиях лидара нам удавалось успешно работать, потому что там есть настройка «низкого режима передачи данных», которая отключает связь с облачным сервером лидара. К сожалению, на старых устройствах такой опции нет. На новых лидарах в режиме низкого трафика я мог удалённо подключаться к лидару напрямую через FileZilla, скачивать ежедневные файлы данных, используя меньше 5 МБ в месяц, а также время от времени заходить в веб-интерфейс лидара, чтобы проверить или изменить настройки (просто нужно было добавить в белый список исходящие IP-адреса моей компании в спутниковом сервисе и выставить перенаправления портов в спутниковом терминале — и вуаля). НО. Сейчас мне нужно полностью заблокировать весь трафик от лидара к спутниковому терминалу (включая DNS-запросы и всё остальное). Мне нужно, чтобы лидар работал только как FTP-сервер с удалённым доступом, а также чтобы я мог заходит в его веб-интерфейс для настройки — то есть пускать трафик только на порты 22 и 80 и только с IP-адресов моей работы. Я пробовал добавить такое правило: add action=drop chain=forward dst-address-list=!Whitelist log=yes src-address-list=!Whitelist (где whitelist — это список исходящих IP-адресов моей компании), но кажется, это не останавливает кучу случайного трафика (DNS-запросы, пинги и всякая непонятная хрень на каких-то случайных портах — если что, я в этом не очень разбираюсь). Физическая схема такая: <LIDAR 192.168.88.254>--------<Маршрутизатор Mikrotik 192.168.88.1 / 192.168.15.206>-------------------<Терминал BGAN 192.168.15.15> Я использую перенаправление портов в терминале BGAN и на Mikrotik, чтобы FTP и HTTP-трафик мог пройти на лидар, и удалённо к нему успешно подключаюсь. Когда я подключаю компьютер к сети, я могу пинговать только устройства из белого списка — но по какой-то причине это всё равно не останавливает расход данных (уже прошло больше 10 МБ по спутниковому каналу). Заранее спасибо, Джош.

Вот моя попытка составить карту сети — надеюсь, это поможет понять настройку. ИСПРАВЛЕНИЕ: на схеме я случайно перепутал ether1 и bridge, они должны быть наоборот.

Спасибо, вот конфигурация. Прошу прощения, что я тут немного наощупь действую, я инженер по измерениям, и мои знания в сетях ограничиваются тем, чтобы проверить правильность IP-настроек на устройстве (то есть IP, маска, шлюз и DNS…). У меня ещё глупая ситуация: я использую DHCP-клиент на интерфейсе ether1 Mikrotik, чтобы получить IP от спутникового терминала, у которого тоже включён DHCP. Конечно, я бы предпочёл просто задать Mikrotik фиксированный IP на этом интерфейсе (ether1) — 192.168.15.206, но не был уверен, как это сделать, и не мог разобраться. Если мне удастся это настроить, я смогу выключить DHCP на спутниковом терминале. Иногда я получаю неправильный IP от спутникового терминала, из-за чего мои переадресации портов не работают.

Во-первых, спутниковый терминал настроен так:  
IP-адрес: 192.168.15.1  
DHCP-диапазон: 192.168.15.206-192.168.15.206  
Я сделал так, потому что терминал слишком "умный" и не даёт назначать IP-адреса для конкретных MAC-адресов.

Фаервола нет (потому что этот терминал глупый).

Переадресации портов:  
8880 → 192.168.15.206:8880  
8822 → 192.168.15.206:8822  
8980 → 192.168.15.206:80  
8921 → 192.168.15.206:21

Вот и всё, что касается спутникового терминала, остальное — просто конфигурация BGAN.

Конфигурация Mikrotik:  
feb/08/2023 10:48:05, RouterOS 6.47.9, software id = NXSX-DLR7, модель = RB952Ui-5ac2nD, серийный номер = XXXX

/interface bridge add admin-mac=X:X:X:X:X:X auto-mac=no comment=defconf name=bridge  
/interface wireless set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-XX disabled=no distance=indoors frequency=auto installation=indoor mode=ap-bridge ssid=MikroTik-8CB596 wireless-protocol=802.11
/interface wireless set [ find default-name=wlan2 ] band=5ghz-a/n/ac channel-width=20/40/80mhz-XXXX disabled=no distance=indoors frequency=auto installation=indoor mode=ap-bridge ssid=MikroTik-8CB595 wireless-protocol=802.11
/interface list add comment=defconf name=WAN  
/interface list add comment=defconf name=LAN  
/interface wireless security-profiles set [ find default=yes ] supplicant-identity=MikroTik
/ip hotspot profile set [ find default=yes ] html-directory=flash/hotspot
/ip pool add name=dhcp ranges=192.168.88.10-192.168.88.254  
/ip dhcp-server add address-pool=dhcp disabled=no interface=bridge name=defconf  
/interface bridge port add bridge=bridge comment=defconf interface=ether2  
/interface bridge port add bridge=bridge comment=defconf interface=ether3  
/interface bridge port add bridge=bridge comment=defconf interface=ether4  
/interface bridge port add bridge=bridge comment=defconf interface=ether5  
/interface bridge port add bridge=bridge comment=defconf interface=wlan1  
/interface bridge port add bridge=bridge comment=defconf interface=wlan2  
/ip neighbor discovery-settings set discover-interface-list=LAN  
/interface list member add comment=defconf interface=bridge list=LAN  
/interface list member add comment=defconf interface=ether1 list=WAN  
/ip address add address=192.168.88.1/24 comment=defconf interface=ether2 network=192.168.88.0  
/ip dhcp-client add disabled=no interface=ether1  
/ip dhcp-server network add address=192.168.88.0/24 comment=defconf gateway=192.168.88.1  
/ip dns set allow-remote-requests=yes  
/ip dns static add address=192.168.88.1 comment=defconf name=router.lan  
/ip firewall address-list add address=X.X.X.X/24 comment= list=Whitelist  
/ip firewall address-list add address=X.X.X.X/24 comment= list=Whitelist  
/ip firewall address-list add address=X.X.X.X/24 comment= list=Whitelist  
/ip firewall address-list add address=X.X.X.X/23 comment= list=Whitelist  
/ip firewall address-list add address=X.X.X.X/29 comment= list=Whitelist  
/ip firewall address-list add address=192.168.15.1 list=Whitelist  
/ip firewall address-list add address=X.X.X.X/24 list=Whitelist  
/ip firewall address-list add address=192.168.88.0/24 list=Whitelist  
/ip firewall filter add action=accept chain=input comment=“defconf: accept established,related,untracked” connection-state=established,related,untracked  
/ip firewall filter add action=drop chain=input comment=“defconf: drop invalid” connection-state=invalid disabled=yes  
/ip firewall filter add action=accept chain=input comment=“defconf: accept ICMP” protocol=icmp  
/ip firewall filter add action=accept chain=input comment=“defconf: accept to local loopback (for CAPsMAN)” dst-address=127.0.0.1  
/ip firewall filter add action=drop chain=input comment=“defconf: drop all not coming from LAN” disabled=yes in-interface-list=!LAN  
/ip firewall filter add action=accept chain=forward comment=“defconf: accept in ipsec policy” ipsec-policy=in,ipsec  
/ip firewall filter add action=accept chain=forward comment=“defconf: accept out ipsec policy” ipsec-policy=out,ipsec  
/ip firewall filter add action=fasttrack-connection chain=forward comment=“defconf: fasttrack” connection-state=established,related  
/ip firewall filter add action=accept chain=forward comment=“defconf: accept established,related,untracked” connection-state=established,related,untracked  
/ip firewall filter add action=drop chain=forward comment=“defconf: drop invalid” connection-state=invalid  
/ip firewall filter add action=drop chain=forward comment=“defconf: drop all from WAN not DSTNATed” connection-nat-state=!dstnat connection-state=new in-interface-list=WAN  
/ip firewall filter add action=drop chain=forward dst-address-list=!Whitelist log=yes src-address-list=!Whitelist  
/ip firewall nat add action=masquerade chain=srcnat comment=“defconf: masquerade” ipsec-policy=out,none out-interface-list=WAN  
/ip firewall nat add action=dst-nat chain=dstnat dst-port=8880 protocol=tcp to-addresses=192.168.88.254 to-ports=80  
/ip firewall nat add action=dst-nat chain=dstnat dst-port=8822 protocol=tcp to-addresses=192.168.88.254 to-ports=22  
/system clock set time-zone-name=Australia/Sydney  
/tool mac-server set allowed-interface-list=LAN  
/tool mac-server mac-winbox set allowed-interface-list=LAN

Огромное спасибо за помощь, @Anav! Всё работает отлично — кажется, что исходящий трафик блокируется, но при этом входящее соединение с Lidar через спутниковое соединение остаётся доступным! У меня есть один вопрос — было бы здорово, если бы я мог подключиться к Lidar с ноутбука, подключённого к роутеру Mikrotik (просто чтобы помочь с настройкой на месте). Конечно, я могу отключить брандмауэр, но гораздо удобнее иметь локальный доступ к Lidar и при этом не допускать, чтобы данные уходили через спутниковый терминал. На самом деле было бы идеально, если бы Mikrotik просто блокировал весь исходящий трафик на спутниковый терминал — тогда я мог бы спокойно подключать ноутбук к Mikrotik и настраивать Lidar, не опасаясь, что Windows или что-то ещё на моём ноутбуке начнёт качать данные через спутниковое соединение. Ещё раз спасибо за помощь!

@jbackwell У тебя в схеме неправильные IP-адреса для Mikrotik. На мосту — 192.168.88.1/24, на eth1 — 192.168.15.206. Кстати, переназначь адрес на мост в настройках, потому что порт 2 входит в мост и является ведомым. Чтобы отключить доступ для всех устройств LAN, измени правило: добавь action=drop chain=forward src-address=192.168.88.0/24 вместо 192.168.88.254. @anav добавь action=drop chain=forward src-address=192.168.88.254 dst-address=192.168.88.0/24 Это правило не должно работать, потому что пакеты LAN не проходят через фаервол, а остаются в мосту. Если нужна такая фильтрация, добавляй её в bridge/filters по MAC-адресам.