RouterOS 5.24 правило фаервола при пробросе порта, как??

Обсуждение ПО и его настройки
Ответить
sgerst
Сообщения: 22
Зарегистрирован: 24 сен 2013, 21:41

нужна помощь, что делаю не так?

RoterOS 5.24 установлена на x86 (celeron4) с целью потренироваться покрутить
два интерфейса LAN и WAN

требуется:
- ограничить для клиентов выход в интернеты определёнными протоколами\портами
- пробросить RDP с внешнего нестандартного порта на внутренний хост на стандартный порт

правила NAT:

Код: Выделить всё

 0   chain=srcnat action=masquerade out-interface=WAN

 1   chain=dstnat action=netmap to-addresses=192.168.18.5 to-ports=3389 protocol=tcp in-interface=WAN dst-port=8889


правила Firewall filter:

Код: Выделить всё

 0   chain=forward action=accept protocol=icmp src-address-list=test in-interface=LAN

 1   chain=forward action=accept protocol=tcp src-address-list=test in-interface=LAN dst-port=21

 2   chain=forward action=accept protocol=tcp src-address=192.168.18.5 in-interface=LAN dst-port=80

 3   chain=forward action=accept protocol=tcp src-address-list=test in-interface=LAN dst-port=443

 4   chain=forward action=accept protocol=tcp src-address-list=test in-interface=LAN dst-port=3389

 5   chain=forward action=accept protocol=tcp dst-address=192.168.18.5 in-interface=WAN dst-port=8889

 6   chain=forward action=drop in-interface=LAN



в итоге на клиенте по разрешенным портам *выход* есть
снаружи RDP не цеплется

при отключении 6-го правила RDP цепляется, равно как и появляется неограниченный доступ у клиентов
если 6-е правило сделать chain=forward action=drop , то у клиентов доступ отрубается
после msISA, Kerio непонятная логика поведения файрволла

помогите как сделать правильно


sgerst
Сообщения: 22
Зарегистрирован: 24 сен 2013, 21:41

всё решилось добавлением правила:
chain=forward action=accept connection-state=established

вычитал тут тут


vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

Проброс портов
TCP с внешнего интерфейса с порта 8010 на внутренний адрес на порт 80
chain=dstnat action=dst-nat to-addresses=192.168.200.4 to-ports=80 protocol=tcp in-interface=bridge-local dst-port=1080

Резать трафик сожно разными методами. Самый простой это маскарадить только то что разрешено. Например маркарадить только http трафик
chain=srcnat action=masquerade protocol=tcp out-interface=ether1-gateway dst-port=80


Есть интересная задача и бюджет? http://mikrotik.site
sgerst
Сообщения: 22
Зарегистрирован: 24 сен 2013, 21:41

vqd писал(а):Резать трафик сожно разными методами. Самый простой это маскарадить только то что разрешено. Например маркарадить только http трафик
chain=srcnat action=masquerade protocol=tcp out-interface=ether1-gateway dst-port=80

ага, это я уже доагадался

маскарадинг того что нужно по идее даст меньше правил в firewall filters, что по логике должно снизить нагрузку на ЦП
верно думаю?


vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

ну по идее да
Можно к стати и диапазоны указывать
Например
80, 8080, 21-23


Есть интересная задача и бюджет? http://mikrotik.site
sgerst
Сообщения: 22
Зарегистрирован: 24 сен 2013, 21:41

vqd писал(а):ну по идее да
Можно к стати и диапазоны указывать
Например
80, 8080, 21-23

это я уже тоже догадался :)

спасибо за помощь!

теперь всё выглядит так:

NAT rule

Код: Выделить всё

[admin@MikroTik] > ip firewall nat print
Flags: X - disabled, I - invalid, D - dynamic
0 chain=srcnat action=masquerade out-interface=WAN

1 chain=dstnat action=netmap to-addresses=192.168.18.5 to-ports=3389
protocol=tcp dst-address=внешнийIP in-interface=WAN dst-port=8889


Firewall Filter rule

Код: Выделить всё

[admin@MikroTik] > ip firewall filter print
Flags: X - disabled, I - invalid, D - dynamic
0 ;;; Allow established connections
chain=forward action=accept connection-state=established

1 ;;; Allow established connections
chain=input action=accept connection-state=established

2 ;;; Allow related connections
chain=forward action=accept connection-state=related

3 ;;; Allow related connections
chain=input action=accept connection-state=related

4 X ;;; Allow UDP connections
chain=forward action=accept protocol=udp

5 X ;;; Allow ICMP messages
chain=forward action=accept protocol=icmp

6 ;;; Drop invalid connection packets
chain=forward action=drop connection-state=invalid

7 ;;; Drop invalid connection packets
chain=input action=drop connection-state=invalid

8 chain=forward action=accept protocol=icmp src-address-list=test
out-interface=WAN

9 chain=forward action=accept protocol=tcp src-address-list=test
out-interface=WAN dst-port=21,80,443,3389

10 chain=forward action=accept protocol=tcp dst-address=192.168.18.5
dst-port=3389

11 chain=forward action=drop

12 chain=input action=drop in-interface=WAN


Ответить