Как дать доступ к порту с определенных IP?

Обсуждение оборудования и его настройки
Ответить
MarkiZ174
Сообщения: 1
Зарегистрирован: 01 окт 2018, 13:52

Добрый день, нужна помощь.
И так, имеется filezilla свалка на 192.168.х.х
Имеется Mikrotik RB2011UiAS-2HnD-IN на RouterOS 6.40.7
Сделан проброс портов с микротика на filezilla server, проброс 21 порта и диапазона 50000-50100.
Доступ доступ из вне и по локалу к ftp есть, тут сообственно и сам вопрос, как сделать доступ извне только с определенных IP адресов?
При добавление внешних IP адресов в address добавлении листа в их в firewall rule\advanced\Dst. address list доступ на фтп пропадает у всех, так же было замечено, что если в этот лист добавить внешний IP микротика, доступ появляется снова, но у всех а не по прописанным IP в листе.
Информации по этой теме мало (возможно не так ищу), но собственно вопрос, как сделать доступ по определененным Ip из вне?

ip firewall nat prin
Flags: X - disabled, I - invalid, D - dynamic
0 chain=srcnat action=masquerade out-interface=ether1

1 ;;; FTP
chain=dstnat action=dst-nat to-addresses=192.168.0.6 to-ports=21 protocol=tcp in-interface=ether1 dst-port=21
log=no log-prefix=""

2 chain=dstnat

ip firewall filter print
Flags: X - disabled, I - invalid, D - dynamic
0 chain=input action=accept protocol=icmp

1 chain=input action=accept connection-state=established in-interface=ether1

2 chain=forward action=accept protocol=tcp dst-address-list=FTP in-interface=ether1 dst-port=21 log=no
log-prefix=""

3 chain=forward action=accept protocol=tcp dst-address-list=FTP in-interface=ether1 dst-port=50000-50100 log=no
log-prefix=""

4 chain=forward action=jump jump-target=customer in-interface=ether1

5 chain=customer action=accept connection-state=established

6 chain=customer action=accept connection-state=related

7 chain=input action=drop in-interface=ether1

8 chain=customer action=drop
П.С. при указывания в адрес листе внешнего IP микротика, доступ появляется но опять же у всех.


SergeyZ
Сообщения: 111
Зарегистрирован: 10 сен 2018, 09:07
Откуда: Санкт-Петербург

Почему вы внешние адреса добавляете в dst-address-list? Они инициируют соединение, значит они src.


Ответить