1.1.1.1/28 ISP1
2.2.2.2/28 ISP2-BACKUP
10.8.248.0/30 IP-MGR-CONSOLE
10.0.0.0/24 SW
192.168.200.0/24 VMware
192.168.10.0/24 USR1
192.168.11.0/24 USR2
192.168.12.0/24 USR3-WIFI
192.168.13.0/24 USR4-WIFI-GUEST
10.8.248.0/21 (SRV,USR) понимаю что не правильно , скора буду сервера выносить
ACL_VPN_NETWORK (адресс лист) (Много VPN сетей)
Как настроить правильно forward , чтобы убрать правило add chain=forward comment="Accept all"
У меня в сети 10.8.248.0/21 много серверов которые выходят через определенный паблик ип.
Код: Выделить всё
add action=dst-nat chain=dstnat comment="dnat - mail.dom.local" dst-address=1.1.1.133 dst-port=25 protocol=tcp to-addresses=10.8.254.7 to-ports=25
add action=src-nat chain=srcnat comment="snat - mail.dom.local" src-address=10.8.254.7 to-addresses=1.1.1.133 !to-ports
Вот цепочки фильтров
Код: Выделить всё
/ip firewall filter
add action=drop chain=forward comment="Block \"bogon\" IP addresses" src-address=0.0.0.0/8
add action=drop chain=forward dst-address=0.0.0.0/8
add action=drop chain=forward src-address=127.0.0.0/8
add action=drop chain=forward dst-address=127.0.0.0/8
add action=drop chain=forward src-address=224.0.0.0/3
add action=drop chain=forward dst-address=224.0.0.0/3
add action=drop chain=input comment="Drop banned" src-address-list=ban
add chain=forward comment="Accepts for admins mgr-vmware network" dst-address=10.8.248.0/30 src-address=192.168.200.0/24
add chain=forward dst-address=192.168.200.0/24 src-address=10.8.248.0/30
add chain=forward comment="Accepts for admins mgr-sw network" dst-address=10.8.248.0/30 src-address=10.0.0.0/24
add chain=forward dst-address=10.0.0.0/24 src-address=10.8.248.0/30
add action=drop chain=forward comment="Drop all ip network for mgr-sw" src-address=10.0.0.0/24
add action=drop chain=forward dst-address=10.0.0.0/24
add action=drop chain=forward comment="Drop all ip network for vmware" src-address=192.168.200.0/24
add action=drop chain=forward dst-address=192.168.200.0/24
[b]add chain=forward comment="Accept all"[/b]
add chain=input comment="accept established connection packets" connection-state=established
add chain=input comment="accept related connection packets" connection-state=related
add action=drop chain=input comment="drop invalid packets" connection-state=invalid
add chain=input comment="Allow access to router from known network" src-address-list=safe
add action=drop chain=input comment="detect and drop port scan connections" protocol=tcp psd=21,3s,3,1
add action=add-src-to-address-list address-list=black_list address-list-timeout=1d chain=input comment="detect DoS attack" connection-limit=10,32 protocol=tcp
add action=tarpit chain=input comment="suppress DoS attack" connection-limit=3,32 protocol=tcp src-address-list=black_list
add action=jump chain=input comment="jump to chain ICMP" jump-target=ICMP protocol=icmp
add action=jump chain=input comment="jump to chain services" jump-target=services
add chain=input comment="Allow Broadcast Traffic" dst-address-type=broadcast
add action=log chain=input log-prefix=Filter:
add action=drop chain=input comment="drop everything else"
add chain=ICMP comment="0:0 and limit for 5pac/s" icmp-options=0 limit=5,5 protocol=icmp
add chain=ICMP comment="3:3 and limit for 5pac/s" icmp-options=3:3 limit=5,5 protocol=icmp
add chain=ICMP comment="3:4 and limit for 5pac/s" icmp-options=3:4 limit=5,5 protocol=icmp
add chain=ICMP comment="8:0 and limit for 5pac/s" icmp-options=8 limit=5,5 protocol=icmp
add chain=ICMP comment="11:0 and limit for 5pac/s" icmp-options=11 limit=5,5 protocol=icmp
add action=drop chain=ICMP comment="Drop everything else" protocol=icmp
add chain=services comment="accept localhost" dst-address=127.0.0.1 src-address=127.0.0.1 src-address-list=""
add chain=services comment="Allow PPTP" dst-port=1723 protocol=tcp
add chain=services comment="Allow IPSec-esp" protocol=ipsec-esp
add chain=services comment="Allow IPSec-ah" protocol=ipsec-ah
add chain=services comment="Allow IKE" dst-port=500 protocol=udp
add chain=services comment="Allow IPSec-esp" protocol=ipsec-esp
add chain=services comment="Allow IPSec-ah" protocol=ipsec-ah
add action=return chain=services
add action=drop chain=forward
Мне нужно чтобы
1) Чтобы сети 10.0/24,11.0/24,11.0/24,12.0/24,13.0/24 видели сеть 10.8.248.0/21 и обратно также чтобы применялись правила нат
2) 200.0/24 и 10.0.0.0/24 эти сети должны видеть только пользователи 10.8.248.0/30
3) ACL_VPN_NETWORK должна видеть все сети за исключением 200.0/24 и 10.0.0.0/24
4) Чтобы правила разрешения интернета использовались для выше перечилсенных сетей чез НАТ
Заранее благодарен.