Проброс портов

Обсуждение оборудования и его настройки
svetkin
Сообщения: 24
Зарегистрирован: 19 янв 2014, 12:31

Код: Выделить всё

/ip firewall filter
add action=passthrough chain=unused-hs-chain comment="place hotspot rules here" disabled=no
add action=accept chain=input comment=icmp disabled=no protocol=icmp
add action=accept chain=input comment=established connection-state=established disabled=no
add action=accept chain=input comment=related connection-state=related disabled=no
add action=accept chain=input comment=manage disabled=no in-interface=bridge-local
add action=accept chain=input disabled=no dst-address=192.168.0.0/24 dst-port=23815 in-interface=!wan \
    protocol=tcp
add action=accept chain=input disabled=no dst-address=192.168.0.102 dst-port=23815 in-interface=!wan port=
    protocol=udp
add action=drop chain=input comment="all other drop" disabled=no in-interface=wan
add action=drop chain=forward comment="Drop invalid connection packets" connection-state=invalid disabled=
add action=accept chain=forward comment="Allow established connections" connection-state=established disab
    no
add action=accept chain=forward comment="Allow related connections" connection-state=related disabled=no
add action=accept chain=forward comment="Allow acess to internet" disabled=no in-interface=bridge-local \
    out-interface=wan src-address-list=inet
add action=drop chain=forward comment="\C2\F1\E5 \EB\E8\F8\ED\E5\E5 \EE\F2\F1\E5\EA\E0\E5\EC \ED\E0 \E2\F5
    \E4\FF\F9\E5\EC \E8\ED\F2\E5\F0\F4\E5\E9\F1\E5" disabled=yes


переделал на input, но без отключения последнего правила не работает


Аватара пользователя
simpl3x
Модератор
Сообщения: 1532
Зарегистрирован: 19 апр 2012, 14:03

перечитайте ваши правила еще раз.
в dst-address у вас должно стоять 93.100.159.132, а не то что вы написали там.


svetkin
Сообщения: 24
Зарегистрирован: 19 янв 2014, 12:31

input имеется ввиду то что приходит из внутренней сети или из внешней?

ведь мы защищаемся против атак из вне...


Аватара пользователя
simpl3x
Модератор
Сообщения: 1532
Зарегистрирован: 19 апр 2012, 14:03

input - это приходящий К микротику пакет
output - это исходящий ОТ микротика пакет
forward - это проходящий ЧЕРЕЗ микротик пакет.

http://ru.wikipedia.org/wiki/Iptables#.D0.90.D1.80.D1.85.D0.B8.D1.82.D0.B5.D0.BA.D1.82.D1.83.D1.80.D0.B0
Были введены отдельные цепочки для фильтрации входящих (INPUT), исходящих (OUTPUT) и транзитных (FORWARD) пакетов.


Другими словами - если пакет предназначен микротику - это input. Если источником пакета является микротик это output. Если пакет прилетает на один интерфейс и должен улететь на другой интерфейс - это форвард.

когда мы делаем порт форвард, то первоначально мы обращаемся к самому микроитку - это получается input. и дсе-аддресс будет адресом микротика, так изначально пакет прилетает к его адресу.


attl
Сообщения: 7
Зарегистрирован: 12 янв 2014, 01:51

влезу в тему со своими граблями , не могу пробросить порт, файрвол фильтр ничего не запрещает кроме доступа из вне винбоксом, есть правило dstnat, пробрасываю порт 2011 на локальный узел 192.168.88.248:80, входящее подключение l2tp билайн, внешка настроена через ddns noip.com, доступ на роут работает, а проброс нет, если в dstnat не указать in int то по внешнему адресу xxxx.no-ip.org:2011 попадаю на 192.168.88.248:80 , но только с этой же локалки 192.168.88.0/24, из вне узел 248 не доступен, если указать in int l2tp-beeline, то доступ отваливается и из локалки и не появляется из вне, по внешнему адресу, пробовал указывать в правило dstnat текущий внешний ip как dest address, никакого результата.

Изображение
Изображение


svetkin
Сообщения: 24
Зарегистрирован: 19 янв 2014, 12:31

К сожалению, не получается... и с адресом 93.100.159.132 и с цепочкой input :cry_ing:


Ответить