mikrotik 1100ahx2 настройка firewall

Обсуждение оборудования и его настройки
Ответить
jokeradm
Сообщения: 2
Зарегистрирован: 26 май 2015, 09:23

Доброго времени суток.

Иметься mikrotik 1100ahx2

Мне необходимо правильно открыть порты tcp/ip 80 для интернета; Т.е. что бы юзеры могли ходить в интернет.

И также необходимо отрыть порт pop3 25 и smtp 435 до серверов mail.nic.ru Что бы юзеры могли получать и отправлять почту.

TCP/UDP порт 4090 для KerioControl Vpn Client на сервер 85.21.33.33; Что бы юзеры могли подключаться по vpn к серверу 85.21.33.33 т.е соединение из внутренней сети во внешнюю. 85.21.33.33 это адрес внешнего vpn сервера.

В Микротик новичок. Заранее благодарю за помощь.



Все остальные порты должны быть закрыты.


Вопрос. Как это правильно организовать в mikrotik?


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

Вы должны понимать, что потенциально у вас будет много проблем при такой блокировке.

Заблокировать порты можно так
ip firewall filters add chain=forward protocol=tcp dst-port=0-65536 action=drop src-address=192.168.0.0/24 comment="drop tcp 0-65536"
ip firewall filters add chain=forward protocol=udp dst-port=0-65536 action=drop src-address=192.168.0.0/24 comment="drop udp 0-65536"


Выше этих правил должны быть правила разблокировки
ip firewall filters add chain=forward protocol=tcp dst-port=80 action=acept src-address=192.168.0.0/24 comment="acept 80"
ip firewall filters add chain=forward protocol=udp dst-port=80 action=acept src-address=192.168.0.0/24 comment="acept 80"
ну и так далее...

Кроме UDP и TCP есть еще много протоколов, все закрыть весьма затруднительно.

Вы также должны понимать, что при правильной организации сети, компьютеры, находящиеся на NAT не светят порты наружу, а значит, к ним нет простого доступа. Сам микротик достаточно надежно противостоит взлому.


Rusx123
Сообщения: 13
Зарегистрирован: 13 май 2015, 12:16

pop3 - 110
smtp 25
http -80
рекомендую добавить https - 443

Но как правильно сказали выше - много чего не учтено, что требуется пользователям почти повседневно....

В принципе такой фаервол как вы хотите построить можно, если в правила на drop добавить логирование и изучать, (долго и упорно :) ) что куда пытается идти и зачем это нужно.


EdkiyGluk
Сообщения: 241
Зарегистрирован: 21 сен 2014, 08:34
Откуда: 34
Контактная информация:

А самому потом этим микротиком как рулить удалённо? icmp хотя бы оставьте, а потом юзайте icmp порт-кнокинг...
к примеру 10 пингов по 100 байт добавят Ваш адрес в белый лист, которому разрешён доступ всегда и везде.... А 11 пингов уже добавят в чёрный лист... Ггг... Цифры 128 это 100 + 28... 28 это заголовок пинга. Заголовок пинга не учитывается, если вы делаете пинг с другого микротика.
Комманда из под винды для добавления себя в белый список будет такой: ping *IP* -n 10 -l 100 (где *IP* - адрес Вашего хоста)
Скрипт добавления правил в фаервол будет примерно такой:

Код: Выделить всё

/ip firewall filter
add action=add-src-to-address-list address-list=BLACK_LIST \
    address-list-timeout=12h chain=input comment=KNOCK disabled=no \
    packet-size=128 protocol=icmp src-address-list=WHITE_STAGE10
add action=add-src-to-address-list address-list=WHITE_STAGE10 \
    address-list-timeout=12h chain=input comment=KNOCK disabled=no \
    packet-size=128 protocol=icmp src-address-list=WHITE_STAGE9
add action=add-src-to-address-list address-list=WHITE_STAGE9 \
    address-list-timeout=2s chain=input comment=KNOCK disabled=no \
    packet-size=128 protocol=icmp src-address-list=WHITE_STAGE9
add action=add-src-to-address-list address-list=WHITE_STAGE8 \
    address-list-timeout=2s chain=input comment=KNOCK disabled=no \
    packet-size=128 protocol=icmp src-address-list=WHITE_STAGE7
add action=add-src-to-address-list address-list=WHITE_STAGE7 \
    address-list-timeout=2s chain=input comment=KNOCK disabled=no \
    packet-size=128 protocol=icmp src-address-list=WHITE_STAGE6
add action=add-src-to-address-list address-list=WHITE_STAGE6 \
    address-list-timeout=2s chain=input comment=KNOCK disabled=no \
    packet-size=128 protocol=icmp src-address-list=WHITE_STAGE5
add action=add-src-to-address-list address-list=WHITE_STAGE5 \
    address-list-timeout=2s chain=input comment=KNOCK disabled=no \
    packet-size=128 protocol=icmp src-address-list=WHITE_STAGE4
add action=add-src-to-address-list address-list=WHITE_STAGE4 \
    address-list-timeout=2s chain=input comment=KNOCK disabled=no \
    packet-size=128 protocol=icmp src-address-list=WHITE_STAGE3
add action=add-src-to-address-list address-list=WHITE_STAGE3 \
    address-list-timeout=2s chain=input comment=KNOCK disabled=no \
    packet-size=128 protocol=icmp src-address-list=WHITE_STAGE2
add action=add-src-to-address-list address-list=WHITE_STAGE2 \
    address-list-timeout=2s chain=input comment=KNOCK disabled=no \
    packet-size=128 protocol=icmp src-address-list=WHITE_STAGE1
add action=add-src-to-address-list address-list=WHITE_STAGE1 \
    address-list-timeout=2s chain=input comment=KNOCK disabled=no \
    packet-size=128 protocol=icmp
add action=drop chain=input comment="STOP BLACK LIST" disabled=no \
    src-address-list=BLACK_LIST
add action=accept chain=input comment=Acept_WHITE_LIST disabled=no \
    src-address-list=WHITE_STAGE10


Ответить