Почему есть доступ в Интернет из локальной сети

[kzua]

Добрый день!

Подскажите, почему есть доступ в Интернет из локальной сети 192.168.4.0/24?
Вроде явного разрешения нет в правилах.

/ip firewall address-list
add address=84.201.247.88 list=rgrpRemoteAccessIP
add address=78.85.28.128 list=rgrpRemoteAccessIP
add address=78.85.13.79 list=rgrpRemoteAccessIP
/ip firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=forward connection-state=established,related dst-address=192.168.4.0/24 src-address=192.168.5.0/24
add action=accept chain=forward connection-state=established,related dst-address=192.168.5.0/24 src-address=192.168.4.0/24
add action=accept chain=forward connection-state=established,related dst-address=192.168.4.0/24 src-address=10.10.0.0/24
add action=accept chain=forward connection-state=established,related dst-address=10.10.0.0/24 src-address=192.168.4.0/24
add action=accept chain=forward connection-state=established,related dst-address=192.168.4.0/24 src-address=192.168.0.0/23
add action=accept chain=forward connection-state=established,related dst-address=192.168.0.0/23 src-address=192.168.4.0/24
add action=jump chain=input comment="Jump for icmp input flow" jump-target=ICMP protocol=icmp
add action=jump chain=forward comment="Jump for icmp forward flow" jump-target=ICMP protocol=icmp
add action=accept chain=input comment="defconf: accept ICMP" disabled=yes protocol=icmp
add action=accept chain=input comment="defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=accept chain=input in-interface-list=WAN src-address-list=rgrpRemoteAccessIP
add action=drop chain=input comment="defconf: drop all not coming from LAN" disabled=yes in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
add action=drop chain=input comment="Drop anything else! # DO NOT ENABLE THIS RULE BEFORE YOU MAKE SURE ABOUT ALL ACCEPT RULES YOU NEED"
add action=accept chain=ICMP comment="Echo request - Avoiding Ping Flood, adjust the limit as needed" icmp-options=8:0 limit=2,5 protocol=icmp
add action=accept chain=ICMP comment="Echo reply" icmp-options=0:0 protocol=icmp
add action=accept chain=ICMP comment="Time Exceeded" icmp-options=11:0 protocol=icmp
add action=accept chain=ICMP comment="Destination unreachable" icmp-options=3:0-1 protocol=icmp
add action=accept chain=ICMP comment=PMTUD icmp-options=3:4 protocol=icmp
add action=drop chain=ICMP comment="Drop to the other ICMPs" protocol=icmp
add action=jump chain=output comment="Jump for icmp output" jump-target=ICMP protocol=icmp
/ip firewall nat
add action=accept chain=srcnat dst-address=192.168.5.0/24 src-address=192.168.4.0/24
add action=accept chain=srcnat dst-address=10.10.0.0/24 src-address=192.168.4.0/24
add action=accept chain=srcnat dst-address=192.168.0.0/23 src-address=192.168.4.0/24
add action=masquerade chain=srcnat out-interface-list=WAN
/ip firewall raw
add action=notrack chain=prerouting dst-address=192.168.4.0/24 src-address=192.168.0.0/23
add action=notrack chain=prerouting dst-address=192.168.0.0/23 src-address=192.168.4.0/24
add action=notrack chain=prerouting dst-address=192.168.4.0/24 src-address=10.10.0.0/24
add action=notrack chain=prerouting dst-address=10.10.0.0/24 src-address=192.168.4.0/24
add action=notrack chain=prerouting dst-address=192.168.4.0/24 src-address=192.168.5.0/24
add action=notrack chain=prerouting dst-address=192.168.5.0/24 src-address=192.168.4.0/24

С уважением, Алексей.

[Erik_U]

Вот ваше разрешение.

Код: Выделить всё

add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
add action=masquerade chain=srcnat out-interface-list=WAN

Вы запрещаете форвард для всех пакетов, кроме натированных.
А натите в WAN со всех подсетей.

Сделайте вместо одного общего add action=masquerade chain=srcnat out-interface-list=WAN
несколько add action=masquerade chain=srcnat src-address=х.х.х.х/х out-interface-list=WAN
Для нужных подсетей.

[kzua]

Код: Выделить всё

add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN

Почему-то статистика этого правила всегда 0 у меня. Почему так? Просто это правило рекомендовано в wiki Mikrotik поэтому хотелось его увидеть в деле.

[Erik_U]

Это правило должно убить пакет, который приходит из интернета через микротик внутрь вашей сети на любые хосты, за исключением натированных.
Представьте себе этот пакет.
Он должен адресоваться на IP вашей внутренней сети, а значит оператор должен построить в своей сети до нее маршрут, и т.д.
Сами оцените вероятность появления такого пакета.
Если очень хотите - поднимите динамические протоколы маршрутизации в сторону провайдера. Может кто-нибудь и откликнется.