Всем доброго дня!
Прощу почтенную публику о помощи, так как недавно столкнулся с Микротиком.
Есть два офиса. Между ними провайдер предоставляет тунель L2.
Первый офис с подсетью 192.168.229.0/24, второй с 192.168.239.0/24
Вот конфиг одного из роутеров на котором надо разрешить только подключение тонкого клиента 1с, остальное запретить
/ip address
add address=192.168.239.2/24 interface=ether2 network=192.168.239.0
add address=192.168.242.52/24 interface=ether3 network=192.168.242.0
Маршутизацию между офисами настроил. Не могу разобраться только с файроволлом.
На одном из роутеров (подсеть 239) разрешаю минимальные правила для работы тонго клиента 1с 8.3
/ip firewall filter
add action=accept chain=input protocol=udp
add action=accept chain=forward protocol=udp
add action=accept chain=forward dst-address=192.168.229.0/24 protocol=tcp \
src-address=192.168.239.0/24 src-port=80,443
add action=accept chain=forward dst-address=192.168.239.0/24 dst-port=\
80,443 protocol=tcp src-address=192.168.229.0/24
Включаю нижнее заприщающее правило и связь пропадает
/ip firewall filter add chain=forward action=drop
Объединение двух офисов через канал L2
-
- Модератор
- Сообщения: 3305
- Зарегистрирован: 01 окт 2012, 14:48
Все просто, тонкие клиенты 1с не используют порты 80 и 443 - это порты для интернет протоколов.
Там что-то вроде 1540-1549 ну или около того, порты можно менять и настраивать под себя на сервере 1с.
Иными словами, читайте документацию к 1с.
И еще один момент, не добавляйте в фаервол правила, которые вы не понимаете, лучше вообще без них, чем лишние.
Там что-то вроде 1540-1549 ну или около того, порты можно менять и настраивать под себя на сервере 1с.
Иными словами, читайте документацию к 1с.
И еще один момент, не добавляйте в фаервол правила, которые вы не понимаете, лучше вообще без них, чем лишние.
-
- Сообщения: 15
- Зарегистрирован: 20 окт 2017, 16:16
Благодарю за ответ. Сорри, имел ввиду веб-клиента 1с.
А не могли бы Вы указать на ошибки в правилах?
А не могли бы Вы указать на ошибки в правилах?
-
- Сообщения: 15
- Зарегистрирован: 20 окт 2017, 16:16
Как я понимаю, я третьим правилом в списке разрешаю трафик из 239 подсети в 229 подсеть по 80, 443 протоколу. А четвертым отзеркаливаю третье правило, разрешая ответный трафик. Буду благодарен, если укажите на ошибку.
-
- Модератор
- Сообщения: 3305
- Зарегистрирован: 01 окт 2012, 14:48
Не зная полной картины советовать очень трудно.
Я лишь догадываюсь, что у вас там может быть. Есть подозрение, что веб клиент 1с использует другие порты.
Общий принцип: если правило (особенно разрешающее) фаерволла написано правильно, то при выполнении нужных действий (в вашем случае: подключение к 1с из другой подсети) счетчик в правиле должен расти. Если счетчик не увеличивается, то это значит, что правило написано неверно.
Временно, попробуйте без портов вообще, счетчики будут увеличиваться??? Да и Scr и Dst - это по отношению к микротику, а не по отношению к компьютерам.
И еще, не пишите эти правила сразу на обеих микротиках. Сначала все на одном, а уже потом, если потребуется, на другом, хотя в простейшем случае будет достаточно написать на одном.
А может быть будет проще, чтобы не нагружать канал, ограничить трафик не портам, а например по доступу. То есть из удаленной сети разрешить полный доступ к серверу 1с, а все остальное запретить? Ведь завтра захочется иметь еще и общую папку для обеих подсетей, возможно FTP на сервере, общий DNS и так далее.
Более подробно это описано здесь viewtopic.php?f=15&t=6572
Я прочитал ваше личное сообщение. Поймите правильно, чтобы реально помочь, нужно представлять схему вашей сети, настройки сервера 1с и так далее. Я разбираться буду сутки, а может и больше. Наскоком с микротиком не прокатит. А у меня сейчас инет 256 кбит в секунду. Я в зоне неуверенного приема. Да и вообще, по опыту могу сказать, что разбираться с фаерволлом удаленно очень трудно, очень много нюансов, о которых знаете только вы, но при этом мне их никто не сообщит, так как вам они кажутся не существенными.
Разбираться нужно вам самим. И опыт, сын ошибок трудных...
Я лишь догадываюсь, что у вас там может быть. Есть подозрение, что веб клиент 1с использует другие порты.
Общий принцип: если правило (особенно разрешающее) фаерволла написано правильно, то при выполнении нужных действий (в вашем случае: подключение к 1с из другой подсети) счетчик в правиле должен расти. Если счетчик не увеличивается, то это значит, что правило написано неверно.
Временно, попробуйте без портов вообще, счетчики будут увеличиваться??? Да и Scr и Dst - это по отношению к микротику, а не по отношению к компьютерам.
И еще, не пишите эти правила сразу на обеих микротиках. Сначала все на одном, а уже потом, если потребуется, на другом, хотя в простейшем случае будет достаточно написать на одном.
А может быть будет проще, чтобы не нагружать канал, ограничить трафик не портам, а например по доступу. То есть из удаленной сети разрешить полный доступ к серверу 1с, а все остальное запретить? Ведь завтра захочется иметь еще и общую папку для обеих подсетей, возможно FTP на сервере, общий DNS и так далее.
Более подробно это описано здесь viewtopic.php?f=15&t=6572
Я прочитал ваше личное сообщение. Поймите правильно, чтобы реально помочь, нужно представлять схему вашей сети, настройки сервера 1с и так далее. Я разбираться буду сутки, а может и больше. Наскоком с микротиком не прокатит. А у меня сейчас инет 256 кбит в секунду. Я в зоне неуверенного приема. Да и вообще, по опыту могу сказать, что разбираться с фаерволлом удаленно очень трудно, очень много нюансов, о которых знаете только вы, но при этом мне их никто не сообщит, так как вам они кажутся не существенными.
Разбираться нужно вам самим. И опыт, сын ошибок трудных...
-
- Сообщения: 15
- Зарегистрирован: 20 окт 2017, 16:16
Благодарю. Да я пытаюсь, конечно разбираться, только получается редко это делать, поэтому и зашел на форум. Связь то между офисами есть, просто надо разрешить трафик по определенным портам, а все остальное запретить - а с эти проблема.
Счетчики трафик крутят, и во вкладке connection видно, что подключение идет по 80 порту. Но только включаю нижнее дропающее правило
/ip firewall filter add chain=forward action=drop которое должно все запрещать, кроме того, что разрешено полностью связь между офисами пропадает.
Попробую с вашего позволения более подробно схему подключения описать. В центрально офисе (далее ЦО) с подсетью 192.168.229.0/24 установлен микротик. Порту ether2 назначен ip из этой подсети 229.2, а порту ether3 назначен произвольный ip 192.168.242.51 - он смотрит в туннель L2 между офисами, который предоставил провайдер.
В дополнительном офисе (ДО) сеть 192.168.239.0/24. Порту ether2 назначен ip из этой подсети 239.2, а порту ether3, который также смотрит в туннель, назначен ip 192.168.242.52. Маршрутизация между офисами настроена. Соответственно пингуются взаимно и микротики и оборудование за ними. На одном микротике в ДО офисе стоит задача разрешить трафик только для определенных портов, а все остальное запретить. Вот тут како-то недопонимание и появляется :).
Счетчики трафик крутят, и во вкладке connection видно, что подключение идет по 80 порту. Но только включаю нижнее дропающее правило
/ip firewall filter add chain=forward action=drop которое должно все запрещать, кроме того, что разрешено полностью связь между офисами пропадает.
Попробую с вашего позволения более подробно схему подключения описать. В центрально офисе (далее ЦО) с подсетью 192.168.229.0/24 установлен микротик. Порту ether2 назначен ip из этой подсети 229.2, а порту ether3 назначен произвольный ip 192.168.242.51 - он смотрит в туннель L2 между офисами, который предоставил провайдер.
В дополнительном офисе (ДО) сеть 192.168.239.0/24. Порту ether2 назначен ip из этой подсети 239.2, а порту ether3, который также смотрит в туннель, назначен ip 192.168.242.52. Маршрутизация между офисами настроена. Соответственно пингуются взаимно и микротики и оборудование за ними. На одном микротике в ДО офисе стоит задача разрешить трафик только для определенных портов, а все остальное запретить. Вот тут како-то недопонимание и появляется :).
-
- Сообщения: 15
- Зарегистрирован: 20 окт 2017, 16:16
Уважаемый gmx могли бы вы еще дать совет в свете более подробной информации? Заранее извините за навязчивость ..
-
- Сообщения: 141
- Зарегистрирован: 23 июн 2017, 07:55
Давайте разберемся
/ip firewall filter
add action=accept chain=input protocol=udp - здесь вы разрешили входящий udp трафик на интерфейсы Mikrotik. Зачем не понятно но к тонкому клиенту это не относится.
add action=accept chain=forward protocol=udp - здесь вы разрешили транзит udp трафика через интерфейсы Mikrotik. Зачем не понятно но к тонкому клиенту это тоже не относится.
add action=accept chain=forward dst-address=192.168.229.0/24 protocol=tcp src-address=192.168.239.0/24 src-port=80,443 - здесь вы разрешили доступ в подсеть 192.168.229.0/24 по dest портам 80 и 443. Это подсеть и порты вашего тонкого клиента.
add action=accept chain=forward dst-address=192.168.239.0/24 dst-port=80,443 protocol=tcp src-address=192.168.229.0/24 - а это типа обратный трафик от тонкого клиента. Только в этом правиле направление портов указали неправильно, так как этот трафик возвращается обратно с 80 или 443 порта, то по отношению к пользователям порты будут src. Перепишите правило вот так "add action=accept chain=forward dst-address=192.168.239.0/24 src-port=80,443 protocol=tcp src-address=192.168.229.0/24"
/ip firewall filter
add action=accept chain=input protocol=udp - здесь вы разрешили входящий udp трафик на интерфейсы Mikrotik. Зачем не понятно но к тонкому клиенту это не относится.
add action=accept chain=forward protocol=udp - здесь вы разрешили транзит udp трафика через интерфейсы Mikrotik. Зачем не понятно но к тонкому клиенту это тоже не относится.
add action=accept chain=forward dst-address=192.168.229.0/24 protocol=tcp src-address=192.168.239.0/24 src-port=80,443 - здесь вы разрешили доступ в подсеть 192.168.229.0/24 по dest портам 80 и 443. Это подсеть и порты вашего тонкого клиента.
add action=accept chain=forward dst-address=192.168.239.0/24 dst-port=80,443 protocol=tcp src-address=192.168.229.0/24 - а это типа обратный трафик от тонкого клиента. Только в этом правиле направление портов указали неправильно, так как этот трафик возвращается обратно с 80 или 443 порта, то по отношению к пользователям порты будут src. Перепишите правило вот так "add action=accept chain=forward dst-address=192.168.239.0/24 src-port=80,443 protocol=tcp src-address=192.168.229.0/24"
-
- Сообщения: 15
- Зарегистрирован: 20 окт 2017, 16:16
Благодарю. Согласен UDP трафик тут совершенно не к месту. Просто скопировал часть конфига прихватив и это правило. Сделаю так ка вы советуете. Посмотрю. Позже отпишусь о результате.
Не могли бы вы подсказать мануал, статью, где доходчиво бы объяснялись тонкости настройки фаерволла? Может даже на этом форуме. Хотя понимаю, что практику ничем не заменить
Не могли бы вы подсказать мануал, статью, где доходчиво бы объяснялись тонкости настройки фаерволла? Может даже на этом форуме. Хотя понимаю, что практику ничем не заменить
-
- Сообщения: 176
- Зарегистрирован: 27 фев 2016, 17:12
"Включаю нижнее заприщающее правило и связь пропадает
/ip firewall filter add chain=forward action=drop"
Чтобы дальше проваливалось нужно добавлять jump
/ip firewall filter add chain=forward action=drop"
Чтобы дальше проваливалось нужно добавлять jump
Обладатель Mikrotik RB2011UAS-2HnD-IN