Настройки firewall Mikrotik RB751G - 2HnD

[kolbac]

Всем доброго дня!
Подскажите какие должны быть минимальные настройки (правила) фаервола. Провайдер выдает локальный ip по DHCP, инет по PPTP (real-ip), iptv мультикаст.

[simpl3x]

Код: Выделить всё

ip firewall nat add chain=srcnat action=masquererade out-interface=VPN

самый минимум для того чтобы прикрыть локальные адреса - адресом мтика на vpn соединении.

[simpl3x]

для того что iptv мультикаст запустить, надо:
1. поставить пакет multicast на мтик. скачать тут: http://download2.mikrotik.com/routeros/ ... e-5.22.zip залить на мтик, перегрузить, проверить:

Код: Выделить всё

[admin@office.gigacoms.ru] > system package print 
Flags: X - disabled 
 #   NAME                     VERSION                     SCHEDULED              
...                                          
 9   multicast                6.0rc6  
...

2.

Код: Выделить всё

routing igmp-proxy interface add interface=local2
routing igmp-proxy interface add upstream=yes alternative-subnets=0.0.0.0/0 interface=local1

где local1 - это порт с аплинком к вашему провайдеру
local2 - к вашей домашней сетке.

[kolbac]

Спасибо! iptv работает. Интересуют именно правила от злоумышленников

[kolbac]

Код: Выделить всё

ip firewall nat add chain=srcnat action=masquererade out-interface=VPN

самый минимум для того чтобы прикрыть локальные адреса - адресом мтика на vpn соединении.

Как я понял, вместо VPN прописать название моего pptp-соединения в микротике?

[simpl3x]

Интересуют именно правила от злоумышленников

самое простейшее что можно придумать:

Код: Выделить всё

ip firewall filter add chain=input in-interface=VPN action=drop
ip firewall filter add chain=input in-interface=local1 action=drop

запрет доступа к мтику с интерфейса VPN и с езернета от провайдера.

Как я понял, вместо VPN прописать название моего pptp-соединения в микротике?

ага

[vkrum]

Код: Выделить всё

 MMM      MMM       KKK                          TTTTTTTTTTT      KKK
  MMMM    MMMM       KKK                          TTTTTTTTTTT      KKK
  MMM MMMM MMM  III  KKK  KKK  RRRRRR     OOOOOO      TTT     III  KKK  KKK
  MMM  MM  MMM  III  KKKKK     RRR  RRR  OOO  OOO     TTT     III  KKKKK
  MMM      MMM  III  KKK KKK   RRRRRR    OOO  OOO     TTT     III  KKK KKK
  MMM      MMM  III  KKK  KKK  RRR  RRR   OOOOOO      TTT     III  KKK  KKK

  MikroTik RouterOS 6.0rc6 (c) 1999-2012       http://www.mikrotik.com/

[?]             Gives the list of available commands
command [?]     Gives help on the command and list of arguments

[Tab]           Completes the command/word. If the input is ambigous,
                a second [Tab] gives possible options

/               Move up to base level
..              Move up one level
/command        Use command at the base level
(113 messages not shown)
jan/02/1970 23:31:56 system,error,critical login failure for user bin from 202.197
.224.141 via ssh
jan/02/1970 23:32:06 system,error,critical login failure for user bin from 202.197
.224.141 via ssh
jan/03/1970 04:44:03 system,error,critical login failure for user admin from 212.1
24.123.34 via winbox
jan/03/1970 09:44:07 system,error,critical login failure for user admin from 212.1
24.123.34 via winbox
jan/03/1970 14:44:11 system,error,critical login failure for user admin from 212.1
24.123.34 via winbox
jan/04/1970 00:44:18 system,error,critical login failure for user admin from 212.1
24.123.34 via winbox
jan/04/1970 05:44:22 system,error,critical login failure for user admin from 212.1
24.123.34 via winbox
jan/05/1970 01:44:37 system,error,critical login failure for user admin from 212.1
24.123.34 via winbox
      
[vkrum@MikroTik] > ip firewall filter add chain=input in-interface=avk action=drop

[vkrum@MikroTik] > ip firewall filter add chain=input in-interface=ether1-gateway 
action=drop
[vkrum@MikroTik] > 

правильно закрыл или есть другие способы?

не так инет отваливается.

[simpl3x]

правильно. таким образом наглухо закрыли доступ к роутеру с интерфейсов avk и ether1-gateway

[trollik]

для того что iptv мультикаст запустить, надо:
1. поставить пакет multicast на мтик. скачать тут: http://download2.mikrotik.com/routeros/ ... e-5.22.zip залить на мтик, перегрузить, проверить:

2.

Код: Выделить всё

routing igmp-proxy interface add interface=local2
routing igmp-proxy interface add upstream=yes alternative-subnets=0.0.0.0/0 interface=local1

где local1 - это порт с аплинком к вашему провайдеру
local2 - к вашей домашней сетке.

Пробовал у себя настроить как тут указано, ничего не проходит. Обязательно ли указывать четкий параметр сети провайдера для вещания, в тех поддержке провайдера ничего не знают, предлагают взять их роутер? или достаточно 0.0.0.0/0?

У меня интернет раздается по ppoe. А iptv идет по локалке провайдера, сервер 10.0.0.4, порт 8000. При этом мой ай пи, в подсети 10.0.3.xxx.

[simpl3x]

параметр 0.0.0.0/0 перекроет все сети, так что должно работать.
а каким образом у вас идёт iptv в сети?

сервер 10.0.0.4, порт 8000

просто в этом случае речь идёт не о igmp и multicast, а о каком то unicast протоколе.