Помогите разобраться с файерволом 2011UiAS

[stanyellow]

День добрый! За микротиком есть NAS с которого раздаёт Transmission соответствующие порты прокинуты, всё работает. Fierwall настроен на стандартные правила, но недавно обратил внимание, что при проверке порта в Transmission, порт закрыт, как только отключаю последнее правило, тут же порт открыт! Прошу помочь разобраться.

[gmx]

По картинке невозможно определить, что внутри правил.

Для чего вам правила в фаерволле, если вы не знаете что они делают???

Здесь на форуме прописная истина повторяется на каждой странице: добавляем в Firewall-Filters только те правила, которые вам действительно нужны и вы понимаете, для чего они нужны. Уберите все лишнее.

[stanyellow]

Нет, лишних тут нет правил. мне непонятно почему правило стоящее выше последнего, drop forward, игнорируется. Либо прошу указать на какую-то ошибку! Готов предоставить ещё какие-то настройки. Неужели по правилам невидно в чём косяк?

[podarok66]

Неужели по правилам невидно в чём косяк?

По правилам видно, но картинка - это не правила. Правила получим командой ip firewall export Вот результат этой команды и покажите.

[stanyellow]

 Я недавно начал изучать Mikrotik, поэтому не знаю, как убирать под теги информацию. А модер, он бездельник, вот пусть он и убирает.

Код: Выделить всё

/ip firewall filter
add chain=input protocol=icmp
add chain=forward protocol=icmp
add chain=input connection-state=established
add chain=forward connection-state=established
add chain=input connection-state=related
add chain=forward connection-state=related
add chain=input dst-port=1723 protocol=tcp
add chain=input protocol=gre
add action=drop chain=input connection-state=invalid
add action=drop chain=forward connection-state=invalid
add chain=input protocol=udp
add chain=forward protocol=udp
add chain=forward in-interface=bridge1 src-address=192.168.2.0/24
add chain=input src-address=192.168.2.0/24
add action=drop chain=input
add action=drop chain=forward disabled=yes
/ip firewall nat
add action=masquerade chain=srcnat out-interface=wan1
add action=masquerade chain=srcnat dst-address=0.0.0.0/0 src-address=192.168.2.0/24
add action=masquerade chain=srcnat disabled=yes dst-address=!192.168.0.0/16 src-address=192.168.2.0/24
add action=dst-nat chain=dstnat dst-port=52333 protocol=tcp to-addresses=192.168.2.10 to-ports=52333
add action=dst-nat chain=dstnat dst-port=52333 protocol=udp to-addresses=192.168.2.10 to-ports=52333
add action=dst-nat chain=dstnat dst-port=51323 protocol=tcp to-addresses=192.168.2.11 to-ports=51323
add action=dst-nat chain=dstnat dst-port=51323 protocol=udp to-addresses=192.168.2.11 to-ports=51323
add action=dst-nat chain=dstnat dst-address=****** dst-port=80 protocol=tcp to-addresses=192.168.2.16 \
    to-ports=80
add action=dst-nat chain=dstnat dst-address=****** dst-port=7000 protocol=tcp to-addresses=192.168.2.101
add action=dst-nat chain=dstnat dst-address=****** dst-port=554 protocol=tcp to-addresses=192.168.2.16 \
    to-ports=554

[gmx]

/ip firewall filter
add chain=input protocol=icmp
add chain=forward protocol=icmp
add chain=input connection-state=established
add chain=forward connection-state=established
add chain=input connection-state=related
add chain=forward connection-state=related
add chain=input dst-port=1723 protocol=tcp
add chain=input protocol=gre
add action=drop chain=input connection-state=invalid
add action=drop chain=forward connection-state=invalid
add chain=input protocol=udp
add chain=forward protocol=udp
add chain=forward in-interface=bridge1 src-address=192.168.2.0/24
add chain=input src-address=192.168.2.0/24
add action=drop chain=input
add action=drop chain=forward disabled=yes

Я же вам в самом начале написал, что используйте только те правила, которые действительно нужны!!!!
Для чего "все запретить", а затем "почти все разрешить"???

Мало того, что толку в плане защиты никакой, так еще и нагрузка на проц, бесполезная!

[stanyellow]

Я просто совсем недавно начал изучать микротик, как железо очень понравилось+гибкость возможностей, админских сетевых познаний нет, поэтому тогда ещё вопрос, что на ваш взгляд корректнее, убрать "всё разрешить" либо "запретить"? Если не трудно, ткните на некорректные строки! Спасибо

[gmx]

Убрать все и радоваться жизни.
Добавлять правила только в том случае, если они нужны и вы понимаете, для чего они.

Рекомендую почитать http://podarok66.livejournal.com/10089.html

[podarok66]

Думаю, если в цепочке input в фильтрах разрешить порт, который пробрасываете для Transmission ( для обоих протоколов, естественно), и поднимете эти правила вверх, все должно заработать.

[stanyellow]

 

/ip firewall filter
add chain=input protocol=icmp
add chain=forward protocol=icmp
add chain=input dst-port=51323 protocol=tcp
add chain=forward dst-port=51323 protocol=tcp
add chain=input dst-port=51323 protocol=udp
add chain=forward dst-port=51323 protocol=udp
add chain=input dst-port=1723 protocol=tcp
add chain=input protocol=gre
add chain=input connection-state=established
add chain=forward connection-state=established
add chain=input connection-state=related
add chain=forward connection-state=related
add action=drop chain=input connection-state=invalid
add action=drop chain=forward connection-state=invalid
add chain=forward in-interface=bridge1 src-address=192.168.2.0/24
add chain=input src-address=192.168.2.0/24
add action=drop chain=input
add action=drop chain=forward

В таком варианте порты открыты! Спасибо большое. Нагрузка на проц заметно упала, 25-30% вместо 50-80%