Страница 1 из 2
Вопрос по Настройке Firewall
Добавлено: 30 июн 2014, 15:21
Sera_Kerch
Доброго времени суток.
помогите настроить
есть локалка 192.168.1.0/24
пул для HotSpot 192.168.99.10-192.168.99.254
192.168.99.1 HotSpot
WiFi точки доступа 192.168.0.111-192.168.0.164
Mikrotik
1 порт 192.168.1.4 смотрит в локалку далее в инет
4 порт подключены WiFi точки доступа
5 порт смотрит в локалку для администрирования
бриджом завязаны 1 и 4 порты
задача
1. комп с адресом в локалке 192.168.0.51, хотелось бы чтобы можно было им диагностировать точки доступа
( когда бросаю в бридж 5 порт через сек 5 вешается вся сетка)
2. некоторые точки доступа разбросаны по локалке, очень далеко. хотелось чтобы их как то завести в микротик через 5 порт
FireWall
ip firewall filter
add action=passthrough chain=unused-hs-chain comment="place hotspot rules here" disabled=yes
add action=accept chain=input disabled=no dst-port=8291 hotspot="" protocol=tcp src-address=192.168.1.0/24
add action=accept chain=input disabled=no dst-address=192.168.99.1 in-interface="ether5 local" src-address=192.168.99.2
add action=drop chain=input disabled=no in-interface="ether5 local"
add action=drop chain=forward connection-limit=20,32 disabled=no dst-port=!80,443,8080 protocol=tcp tcp-flags=syn
add action=drop chain=forward connection-limit=20,32 disabled=no dst-port=!53 protocol=udp
add action=drop chain=forward disabled=no p2p=all-p2p
add action=accept chain=input comment="default configuration" disabled=no protocol=icmp
add action=accept chain=input comment="default configuration" connection-state=established disabled=no
add action=accept chain=input comment="default configuration" connection-state=related disabled=no
add action=drop chain=input comment="default configuration" disabled=no in-interface="ethe1 Inet"
add action=accept chain=forward comment="default configuration" connection-state=established disabled=no
add action=accept chain=forward comment="default configuration" connection-state=related disabled=no
ip firewall nat
add action=passthrough chain=unused-hs-chain comment="place hotspot rules here" disabled=yes to-addresses=0.0.0.0
add action=masquerade chain=srcnat comment="default configuration" disabled=no out-interface="ethe1 Inet" to-addresses=0.0.0.0
add action=masquerade chain=srcnat comment="masquerade hotspot network" disabled=no src-address=192.168.99.0/24 to-addresses=0.0.0.0
add action=accept chain=srcnat disabled=no dst-address=192.168.0.0 out-interface=ether4
Заранее благодарен
Re: Вопрос по Настройке Firewall
Добавлено: 30 июн 2014, 16:57
wolf_ktl
Sera_Kerch писал(а):Доброго времени суток.
помогите настроить
есть локалка 192.168.1.0/24
пул для HotSpot 192.168.99.10-192.168.99.254
192.168.99.1 HotSpot
WiFi точки доступа 192.168.0.111-192.168.0.164
Mikrotik
1 порт 192.168.1.4 смотрит в локалку далее в инет
4 порт подключены WiFi точки доступа
5 порт смотрит в локалку для администрирования
бриджом завязаны 1 и 4 порты
задача
1. комп с адресом в локалке 192.168.0.51, хотелось бы чтобы можно было им диагностировать точки доступа
( когда бросаю в бридж 5 порт через сек 5 вешается вся сетка)
2. некоторые точки доступа разбросаны по локалке, очень далеко. хотелось чтобы их как то завести в микротик через 5 порт
FireWall
ip firewall filter
add action=passthrough chain=unused-hs-chain comment="place hotspot rules here" disabled=yes
add action=accept chain=input disabled=no dst-port=8291 hotspot="" protocol=tcp src-address=192.168.1.0/24
add action=accept chain=input disabled=no dst-address=192.168.99.1 in-interface="ether5 local" src-address=192.168.99.2
add action=drop chain=input disabled=no in-interface="ether5 local"
add action=drop chain=forward connection-limit=20,32 disabled=no dst-port=!80,443,8080 protocol=tcp tcp-flags=syn
add action=drop chain=forward connection-limit=20,32 disabled=no dst-port=!53 protocol=udp
add action=drop chain=forward disabled=no p2p=all-p2p
add action=accept chain=input comment="default configuration" disabled=no protocol=icmp
add action=accept chain=input comment="default configuration" connection-state=established disabled=no
add action=accept chain=input comment="default configuration" connection-state=related disabled=no
add action=drop chain=input comment="default configuration" disabled=no in-interface="ethe1 Inet"
add action=accept chain=forward comment="default configuration" connection-state=established disabled=no
add action=accept chain=forward comment="default configuration" connection-state=related disabled=no
ip firewall nat
add action=passthrough chain=unused-hs-chain comment="place hotspot rules here" disabled=yes to-addresses=0.0.0.0
add action=masquerade chain=srcnat comment="default configuration" disabled=no out-interface="ethe1 Inet" to-addresses=0.0.0.0
add action=masquerade chain=srcnat comment="masquerade hotspot network" disabled=no src-address=192.168.99.0/24 to-addresses=0.0.0.0
add action=accept chain=srcnat disabled=no dst-address=192.168.0.0 out-interface=ether4
Заранее благодарен
Да че-то Вы перемудрили
Почитайте и настройте по инструкции
http://www.technotrade.com.ua/Articles/ ... -12-31.php
Re: Вопрос по Настройке Firewall
Добавлено: 30 июн 2014, 16:59
wolf_ktl
Что у Вас за точки доступа?
Re: Вопрос по Настройке Firewall
Добавлено: 30 июн 2014, 17:12
Sera_Kerch
HotSpot работает норм вопросов нет
Для тех точек доступа что в локалке можно любой адрес выдать
Re: Вопрос по Настройке Firewall
Добавлено: 30 июн 2014, 17:14
Sera_Kerch
wolf_ktl писал(а):Что у Вас за точки доступа?
Dlink DAP 1155, в локалке TPLink 740,TPlink741,TPLink 730re
Re: Вопрос по Настройке Firewall
Добавлено: 30 июн 2014, 17:23
wolf_ktl
Sera_Kerch писал(а):5 порт смотрит в локалку для администрирования
Что за локалка? у него какой то свой диапазон IP?
Re: Вопрос по Настройке Firewall
Добавлено: 30 июн 2014, 17:57
Sera_Kerch
wolf_ktl писал(а):Sera_Kerch писал(а):5 порт смотрит в локалку для администрирования
Что за локалка? у него какой то свой диапазон IP?
да я в начале писал 192.168.1.0/24 свой DHCP
может кто то подскажет как пробросить все пакеты на порт 4 mikrotik от машины 192.168.0.51 приходящие на 5 порт mikrotik на адреса 192.168.0.111-192.168.0.164 и обратно
Re: Вопрос по Настройке Firewall
Добавлено: 30 июн 2014, 22:01
wolf_ktl
нарисуй схемку с портами на микротике
Re: Вопрос по Настройке Firewall
Добавлено: 01 июл 2014, 12:54
Sera_Kerch
wolf_ktl писал(а):нарисуй схемку с портами на микротике
Re: Вопрос по Настройке Firewall
Добавлено: 01 июл 2014, 22:50
wolf_ktl
Sera_Kerch писал(а):wolf_ktl писал(а):нарисуй схемку с портами на микротике
картинки нет)))