Вопрос по Настройке Firewall

[Sera_Kerch]

Доброго времени суток.
помогите настроить
есть локалка 192.168.1.0/24
пул для HotSpot 192.168.99.10-192.168.99.254
192.168.99.1 HotSpot
WiFi точки доступа 192.168.0.111-192.168.0.164
Mikrotik
1 порт 192.168.1.4 смотрит в локалку далее в инет
4 порт подключены WiFi точки доступа
5 порт смотрит в локалку для администрирования
бриджом завязаны 1 и 4 порты

задача
1. комп с адресом в локалке 192.168.0.51, хотелось бы чтобы можно было им диагностировать точки доступа
( когда бросаю в бридж 5 порт через сек 5 вешается вся сетка)
2. некоторые точки доступа разбросаны по локалке, очень далеко. хотелось чтобы их как то завести в микротик через 5 порт

FireWall

 

ip firewall filter
add action=passthrough chain=unused-hs-chain comment="place hotspot rules here" disabled=yes
add action=accept chain=input disabled=no dst-port=8291 hotspot="" protocol=tcp src-address=192.168.1.0/24
add action=accept chain=input disabled=no dst-address=192.168.99.1 in-interface="ether5 local" src-address=192.168.99.2
add action=drop chain=input disabled=no in-interface="ether5 local"
add action=drop chain=forward connection-limit=20,32 disabled=no dst-port=!80,443,8080 protocol=tcp tcp-flags=syn
add action=drop chain=forward connection-limit=20,32 disabled=no dst-port=!53 protocol=udp
add action=drop chain=forward disabled=no p2p=all-p2p
add action=accept chain=input comment="default configuration" disabled=no protocol=icmp
add action=accept chain=input comment="default configuration" connection-state=established disabled=no
add action=accept chain=input comment="default configuration" connection-state=related disabled=no
add action=drop chain=input comment="default configuration" disabled=no in-interface="ethe1 Inet"
add action=accept chain=forward comment="default configuration" connection-state=established disabled=no
add action=accept chain=forward comment="default configuration" connection-state=related disabled=no

ip firewall nat
add action=passthrough chain=unused-hs-chain comment="place hotspot rules here" disabled=yes to-addresses=0.0.0.0
add action=masquerade chain=srcnat comment="default configuration" disabled=no out-interface="ethe1 Inet" to-addresses=0.0.0.0
add action=masquerade chain=srcnat comment="masquerade hotspot network" disabled=no src-address=192.168.99.0/24 to-addresses=0.0.0.0
add action=accept chain=srcnat disabled=no dst-address=192.168.0.0 out-interface=ether4

Заранее благодарен

[wolf_ktl]

Доброго времени суток.
помогите настроить
есть локалка 192.168.1.0/24
пул для HotSpot 192.168.99.10-192.168.99.254
192.168.99.1 HotSpot
WiFi точки доступа 192.168.0.111-192.168.0.164
Mikrotik
1 порт 192.168.1.4 смотрит в локалку далее в инет
4 порт подключены WiFi точки доступа
5 порт смотрит в локалку для администрирования
бриджом завязаны 1 и 4 порты

задача
1. комп с адресом в локалке 192.168.0.51, хотелось бы чтобы можно было им диагностировать точки доступа
( когда бросаю в бридж 5 порт через сек 5 вешается вся сетка)
2. некоторые точки доступа разбросаны по локалке, очень далеко. хотелось чтобы их как то завести в микротик через 5 порт

FireWall

 

ip firewall filter
add action=passthrough chain=unused-hs-chain comment="place hotspot rules here" disabled=yes
add action=accept chain=input disabled=no dst-port=8291 hotspot="" protocol=tcp src-address=192.168.1.0/24
add action=accept chain=input disabled=no dst-address=192.168.99.1 in-interface="ether5 local" src-address=192.168.99.2
add action=drop chain=input disabled=no in-interface="ether5 local"
add action=drop chain=forward connection-limit=20,32 disabled=no dst-port=!80,443,8080 protocol=tcp tcp-flags=syn
add action=drop chain=forward connection-limit=20,32 disabled=no dst-port=!53 protocol=udp
add action=drop chain=forward disabled=no p2p=all-p2p
add action=accept chain=input comment="default configuration" disabled=no protocol=icmp
add action=accept chain=input comment="default configuration" connection-state=established disabled=no
add action=accept chain=input comment="default configuration" connection-state=related disabled=no
add action=drop chain=input comment="default configuration" disabled=no in-interface="ethe1 Inet"
add action=accept chain=forward comment="default configuration" connection-state=established disabled=no
add action=accept chain=forward comment="default configuration" connection-state=related disabled=no

ip firewall nat
add action=passthrough chain=unused-hs-chain comment="place hotspot rules here" disabled=yes to-addresses=0.0.0.0
add action=masquerade chain=srcnat comment="default configuration" disabled=no out-interface="ethe1 Inet" to-addresses=0.0.0.0
add action=masquerade chain=srcnat comment="masquerade hotspot network" disabled=no src-address=192.168.99.0/24 to-addresses=0.0.0.0
add action=accept chain=srcnat disabled=no dst-address=192.168.0.0 out-interface=ether4

Заранее благодарен

Да че-то Вы перемудрили

Почитайте и настройте по инструкции http://www.technotrade.com.ua/Articles/ ... -12-31.php

[wolf_ktl]

Что у Вас за точки доступа?

[Sera_Kerch]

Да че-то Вы перемудрили

Почитайте и настройте по инструкции http://www.technotrade.com.ua/Articles/ ... -12-31.php

HotSpot работает норм вопросов нет
Для тех точек доступа что в локалке можно любой адрес выдать

[Sera_Kerch]

Что у Вас за точки доступа?

Dlink DAP 1155, в локалке TPLink 740,TPlink741,TPLink 730re

[wolf_ktl]

5 порт смотрит в локалку для администрирования

Что за локалка? у него какой то свой диапазон IP?

[Sera_Kerch]

5 порт смотрит в локалку для администрирования

Что за локалка? у него какой то свой диапазон IP?

да я в начале писал 192.168.1.0/24 свой DHCP

может кто то подскажет как пробросить все пакеты на порт 4 mikrotik от машины 192.168.0.51 приходящие на 5 порт mikrotik на адреса 192.168.0.111-192.168.0.164 и обратно

[wolf_ktl]

нарисуй схемку с портами на микротике

[Sera_Kerch]

нарисуй схемку с портами на микротике

[wolf_ktl]

нарисуй схемку с портами на микротике

картинки нет)))