Запретить ИЗВНЕ доступ кроме определенных адресов

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Ответить
evg2020
Сообщения: 19
Зарегистрирован: 08 авг 2020, 16:51

Здравствуйте.
Задолбали уже мамкины хакеры со всей планеты, пытающиеся подобрать пароль к впн, поднятому на микротике.
Задача такая: есть 5-6 ip-адресов, с которых подключаются сотрудники по vpn к микротику, и работают за ним в локальной сети. Надо для этих адресов сделать белый список, а всех остальных просто дропать.
Как правильно это организовать?


Marquess
Сообщения: 1
Зарегистрирован: 04 апр 2022, 16:47

через winbox:
IP-Firewall-Address List
создаёте лист с нужными ip
затем ip-firewall-filter rules
на правилах VPN на закладке Advanced.
Src. Address list указываете созданный лист


evg2020
Сообщения: 19
Зарегистрирован: 08 авг 2020, 16:51

Marquess писал(а): 04 апр 2022, 17:00 через winbox:
IP-Firewall-Address List
создаёте лист с нужными ip
затем ip-firewall-filter rules
на правилах VPN на закладке Advanced.
Src. Address list указываете созданный лист
Спасибо, но интересует именно, как сделать так чтобы не только по впн, а вообще весь входящий извне трафик таким образом отсеивать. Потому, что и по впн лезут, и порты сканируют и т.д.
Дак вот чтоб всё это нещадно дропалось.

Я так полагаю, цепочку forward тоже нужно так же защитить? Не только input?


vladislav.granovskiy
Сообщения: 25
Зарегистрирован: 25 июл 2018, 21:12

evg2020 писал(а): 04 апр 2022, 19:27
Marquess писал(а): 04 апр 2022, 17:00 через winbox:
IP-Firewall-Address List
создаёте лист с нужными ip
затем ip-firewall-filter rules
на правилах VPN на закладке Advanced.
Src. Address list указываете созданный лист
Спасибо, но интересует именно, как сделать так чтобы не только по впн, а вообще весь входящий извне трафик таким образом отсеивать. Потому, что и по впн лезут, и порты сканируют и т.д.
Дак вот чтоб всё это нещадно дропалось.

Я так полагаю, цепочку forward тоже нужно так же защитить? Не только input?
создаете правило в инпуте, разрешающее.
создаете еще одно правило, которое запрещает все.( action:drop )


Аватара пользователя
hardrockbaby
Сообщения: 70
Зарегистрирован: 19 сен 2021, 16:11

evg2020 писал(а): 04 апр 2022, 12:15Надо для этих адресов сделать белый список, а всех остальных просто дропать
В список ip allowed добавите разрешенные адреса; в списке in-interface-list (или in-interface) нужные интерфейсы

Код: Выделить всё

/ip firewall address-list
add address=1.2.3.4 list="ip allowed"
add address=1.2.3.5 list="ip allowed"
/ip firewall raw chain=prerouting action=drop \
in-interface-list=WAN src-address-list="!ip allowed"


Ответить