+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

DMZ как фаерволы на Mikrotik

DMZ как фаерволы на Mikrotik, RouterOS

cbergia

Guest

10.09.2018 21:23:00

Привет! Хочу настроить DMZ. Например, у меня есть 3 интерфейса: LAN, DMZ и WAN.

* Трафик, инициированный в LAN с назначением DMZ или WAN, должен быть разрешён, а также ответы из DMZ или WAN к LAN.
* Трафик, инициированный в DMZ с назначением LAN, должен быть запрещён. Разрешать только если есть правило, позволяющее это соединение, начатое в DMZ.

Можешь подсказать, как сделать правила фаервола, чтобы добиться этого? Я думал примерно так:

(Разрешить весь трафик из LAN)
chain=forward action=accept in-interface=LAN

(Разрешить ответ из DMZ к LAN, когда трафик инициирован в LAN)
chain=forward action=accept connection-state=established,related in-interface=DMZ out-interface=LAN

(Блокировать трафик, инициируемый из DMZ в LAN)
chain=forward action=drop connection-state=new in-interface=DMZ out-interface=LAN log=no log-prefix=""

Спасибо!

tigro11

Guest

26.09.2018 14:30:00

У меня настроен rb2011 со следующими портами: eth1 — pppoe, eth2 — LAN, eth5 — DMZ. Все порты не в мосту. Я настроил NAT с pppoe на DMZ без указания какого-либо протокола, но хочу, чтобы DMZ был изолирован от LAN. DMZ используется только для интернет-сервиса для клиентов. Чтобы гарантировать, что никто из DMZ не попадет в LAN, нужно ли дополнительно настроить фильтры? Спасибо.

Sob

Guest

26.09.2018 16:00:00

Зависит от ситуации. Если ты использовал конфигурацию, как я присылал, то всё, что явно не разрешено, заблокировано. Так что если ты не разрешил доступ из DMZ в LAN, он уже заблокирован, и ничего делать не нужно. Если у тебя что-то другое — невозможно сказать без того, чтобы это увидеть.

tigro11

Guest

26.09.2018 16:18:00

Я хотел найти настройку, которая блокирует всё с WAN на LAN, а затем открывает только те порты, которые мне нужны. По умолчанию такого нет, и каждый раз, когда настраиваю RB, с ума схожу. Наверняка я ставлю правила, которые ни на что не влияют. Есть ли настройка, которая блокирует всё, кроме интернета?

Sob

Guest

26.09.2018 16:51:00

Текущая стандартная конфигурация блокирует весь трафик с WAN. Но позволяет всё остальное, поэтому если вы меняете стандартный WAN-порт, нужно обновить конфигурацию для нового. Попробуйте посмотреть конфиг, который я опубликовал, там всего несколько правил — постарайтесь понять, что они делают, и всё станет ясно. Не уверен, как можно сделать это ещё проще.

tigro11 Guest	#6 0 26.09.2018 18:48:00 Отлично, я постараюсь изучить это как следует.

tigro11

Guest

27.09.2018 13:57:00

Я заметил, что он закрывает все двери с WAN на LAN, и это нормально. Я открываю только те порты, которые мне нужны, но мне нужно открыть порт 21 TCP/IP, чтобы получить доступ к NAS с WAN стороны, однако это не работает. Если я отключаю правило: add action=reject chain=forward reject-with=icmp-admin-prohibited comment=“block everything else”, то всё начинает работать. Нужно ли мне что-то ещё делать?

Sob Guest	#8 0 27.09.2018 14:56:00 Я бы сказал, что тебе нужны правильные dstnat правила. И если ты уже что-то пробовал сделать, было бы полезно выложить именно то, что ты делал. Знаешь, чтобы кто-то мог указать на возможные ошибки. Просто говорить «я что-то пробовал, и у меня не получилось» — это малоинформативно.

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры