У тебя не просто открыты, а похоже предыдущий админ сделал гадость и открыл публичный прокси для всех, или просто не понимал что делал.Dreamer_UFA писал(а): ↑31 май 2018, 07:15почти все они открыты миру, достучатся можно как по WAN так и по LAN через браузер
Еще раз повторю, как бы я делал:
Обрати внимание все эти действия только на input, т.е. на трафик к маршрутизатору. Трафик из локальной сети в интернет и обратно это цепочка forward. Этими действиями ты её никак не тронешь.
1. на сколько я понял подключаешься к микротам ты по публичному адресу. тогда первым делом узнаешь свой внешний адрес. например на 2ip.ru. Предположим он у тебя 95.50.158.182
2. подключаешься к микротику, включаешь safe mode. рекомендую его всегда использовать перед внесением изменений.
3. в winbox открываешь ip firewall - filter rules, выбираешь только input
4. все отключаешь, а лучше удаляешь (надеюсь у тебя пароль нормальный)
5. через терминал (new terminal) добавляешь правила
Код: Выделить всё
/ip firewall filter
add chain=input action=drop connection-state=invalid comment="drop invalid"
add chain=input action=accept connection-state=established,related comment="accept established,related"
add chain=input action=accept protocol=icmp comment="accept ICMP"
add action=accept chain=input src-address=95.50.158.182
Код: Выделить всё
add chain=input action=drop comment="drop all other"
7. если связь с микротиком не потеряна, то отключаешь safe mode
8. далее, уже через винбокс добавляешь правило для ipsec. ты в упор не хочешь показать конфиг (есть такая команда export), поэтому не знаю как он у тебя реализован. если у тебя на этом микротике только l2tp клиент с ipsec, то никаких дополнительных правил не нужно.
9. далее, если нужен доступ к микротику из локальной сети (днс держишь на МТ или еще чего), к примеру для bridge-LAN нужно добавить правило
/ip firewall filter add chain=input action=accept in-interface=bridge-LAN place-before=0
place-before=0 показывает что его нужно расположить первым, но я бы его передвинул перед drop all. это ты легко можешь сделать в winbox.
Это самый простой вариант правила. в идеале добавить только нужные порты, чтобы из локалки тебя не взломали.
10. далее смотришь что не работает и добавляешь нужные правила. узнать что не работает можно в правиле drop all кратковременно включить логирование, и тогда увидишь все пакеты которые запрещаются, вдруг среди них есть и нужные.
Наведя порядок с input, берешься за forward, по такому же принципу.
ЗЫ: вряд ли всегда будет существовать инструкция по конкретно твоему случаю. есть сайт wiki.mikrotik.com там достаточно информации.