751-й не пускает для настройки из внешней сети

Обсуждение ПО и его настройки
dym69
Сообщения: 45
Зарегистрирован: 03 дек 2012, 14:29

Здравствуйте!
Проблемы на самом деле две (подскажите, где наврал):
1. Не пускает для настройки из внешней сети
2. Не пробрасывает rdp на внутреннюю машину.

У меня вот такие настройки firewall:

[admin@MikroTik] /ip firewall> nat print Flags: X - disabled, I - invalid, D - dynamic
0 ;;; default configuration
chain=srcnat action=masquerade to-addresses=0.0.0.0 src-address=192.168.0.0/24

1 ;;; RDP redirect
chain=dstnat action=dst-nat to-addresses=192.168.0.100 to-ports=3389 protocol=tcp
dst-address=192.168.0.100 in-interface=ether1-gw1 dst-port=3389

[admin@MikroTik] /ip firewall> mangle print
Flags: X - disabled, I - invalid, D - dynamic
0 ;;; groupB
chain=prerouting action=mark-routing new-routing-mark=groupB passthrough=no
src-address=192.168.0.192/26
1 ;;; groupA
chain=prerouting action=mark-routing new-routing-mark=groupA passthrough=yes
src-address=192.168.0.0-192.168.0.191

[admin@MikroTik] /ip firewall> filter print
Flags: X - disabled, I - invalid, D - dynamic
0 ;;; default configuration
chain=input action=accept protocol=icmp
1 ;;; default configuration
chain=input action=accept connection-state=established
2 ;;; default configuration
chain=input action=accept connection-state=related
3 X ;;; default configuration
chain=input action=drop in-interface=ether1-gw1
4 ;;; RDP redirect
chain=forward action=accept protocol=tcp dst-address=176.192.21.194 in-interface=ether1-gw1
dst-port=3389
5 chain=input action=accept protocol=tcp dst-address=176.192.21.194 in-interface=ether1-gw1 dst-port=3389
[admin@MikroTik] /ip firewall>


Аватара пользователя
simpl3x
Модератор
Сообщения: 1532
Зарегистрирован: 19 апр 2012, 14:03

1. Не пускает для настройки из внешней сети

Либо уберите это:

Код: Выделить всё

3 X ;;; default configuration
chain=input action=drop in-interface=ether1-gw1

Либо перед этим добавьте разрешение (пример для доступа по ssh):

Код: Выделить всё

chain=input action=accept protocol=tcp dst-port=22


Аватара пользователя
simpl3x
Модератор
Сообщения: 1532
Зарегистрирован: 19 апр 2012, 14:03

Код: Выделить всё

5 chain=input action=accept protocol=tcp dst-address=176.192.21.194 in-interface=ether1-gw1 dst-port=3389

это правило не имеет смысла, т.к. выше, вы уже запретили всю цепочку input:

Код: Выделить всё

chain=input action=drop in-interface=ether1-gw1


dym69
Сообщения: 45
Зарегистрирован: 03 дек 2012, 14:29

Попробовал, просто для очистки совести. Не сработало.
Да и если Вы заметили, drop не был включен. Он неактивный.

Но я на всякий случай сделал ка Вы говорили.
Прописал в разрешениях принимать 22 и порт 8291.
Не помогло...

[admin@MikroTik] /ip firewall> filter print
Flags: X - disabled, I - invalid, D - dynamic
0 ;;; default configuration
chain=input action=accept protocol=icmp
1 ;;; default configuration
chain=input action=accept connection-state=established
2 ;;; default configuration
chain=input action=accept connection-state=related
3 chain=input action=accept protocol=tcp dst-port=22
4 chain=input action=accept protocol=tcp dst-port=8291
5 ;;; RDP redirect
chain=forward action=accept protocol=tcp dst-address=176.192.21.194 in-interface=ether1-gw1
dst-port=3389
6 chain=input action=accept protocol=tcp dst-address=176.192.21.194 in-interface=ether1-gw1 dst-port=3389
[admin@MikroTik] /ip firewall>


dym69
Сообщения: 45
Зарегистрирован: 03 дек 2012, 14:29

Безрезультатно, но немного изменил фильтры:
[admin@MikroTik] /ip firewall filter> print
Flags: X - disabled, I - invalid, D - dynamic
0 ;;; default configuration
chain=input action=accept protocol=icmp
1 ;;; default configuration
chain=input action=accept connection-state=established
2 ;;; default configuration
chain=input action=accept connection-state=related
3 chain=input action=accept protocol=tcp dst-port=22
4 chain=input action=accept protocol=tcp dst-port=8291
5 chain=forward action=accept protocol=tcp dst-port=3389
[admin@MikroTik] /ip firewall filter>


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

Предложение следующее:

1. Отключите все фильтры!! Все!!!!
2. Удаленный доступ к микротику должен быть.
3. Если нет, то искать внешнюю причину.
4. Если все заработало, постепенно включать правила.


dym69
Сообщения: 45
Зарегистрирован: 03 дек 2012, 14:29

Если отключу все фильтры, включая разрешающие, то я не потеряю доступ к микротику даже из ЛВС?


chameleon
Сообщения: 13
Зарегистрирован: 17 фев 2013, 20:57

Сможете зайти по mac.


dym69
Сообщения: 45
Зарегистрирован: 03 дек 2012, 14:29

Это как? winbox-ом или ssh ?
По имени и по адресу знаю как входить по маку не знаю.
Как?


dym69
Сообщения: 45
Зарегистрирован: 03 дек 2012, 14:29

Сдается мне у меня беда с роутами... Потому что из сети я и по внешнему адресу и по внутреннему хожу нормально. Т.е. с какой стороны не тыкаюсь могу войти. может тут что не так?


[admin@MikroTik] /ip route> print
Flags: X - disabled, A - active, D - dynamic,
C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme,
B - blackhole, U - unreachable, P - prohibit
# DST-ADDRESS PREF-SRC GATEWAY DISTANCE
0 A S 0.0.0.0/0 176.192.21.193 1
1 A S 0.0.0.0/0 192.168.1.1 1
2 ADC 176.192.21.192/30 176.192.21.194 ether1-gw1 0
3 ADC 192.168.0.0/24 192.168.0.1 bridge-local 0
4 ADC 192.168.1.0/24 192.168.1.44 ether5-gw2 0
5 A S 192.168.1.1/32 192.168.1.1 1
6 A S 212.1.224.6/32 176.192.21.193 1
7 A S 212.1.230.111/32 176.192.21.193 1
[admin@MikroTik] /ip route>


Ответить