Имеется RB3011UIAS-RM
Настроено подключение по PPPoE, в наличии 1 белый IP на WAN порту - 91.хxх.хxх.21
Провайдер выдал пул белых IP адресов
78.xx.xx.72/29
И написал: Выделенная сеть должна быть исключена из NAT на маршрутизаторе клиента.
Сеть будет маршрутизироваться в существующий IP адрес клиента 91.хxх.хxх.21
Взял собственно эту тему
viewtopic.php?f=1&t=8263
На eth3 порт - локалку с сотрудниками.
На eth6 порты повесил сеть 78.xx.xx.72/29 - для серверов
Сервер в интернет вышел, ресурсы пингует.
Из eth3 в eth6 ходит.
Пробовал подключатся с другой точки интернет: естественно нет доступа до сервака.
Я понимаю что надо сеть 78.xx.xx.72/29 выкинуть из правила
Код: Выделить всё
add action=masquerade chain=srcnat out-interface=tap-1wan
И дополнительный вопрос: что с точки зрения безопасности необходимо добавить в правила firewall (конфиг прилагаю)
Код: Выделить всё
/ip firewall filter
add action=accept chain=input in-interface=tap-1wan
add action=accept chain=input connection-state=established,related
add action=fasttrack-connection chain=forward connection-state=established,related
add action=accept chain=forward connection-state=established,related
add action=drop chain=forward connection-state=invalid
/ip firewall nat
add action=masquerade chain=srcnat out-interface=tap-1wan