настроил фаервол, но паранойя не даёт покоя ))
Добавлено: 20 дек 2017, 02:58
Да простят меня модераторы, если я что-то нарушил.
Посмотрите пожалуйста на мою конфигурацию фаервола, вроде всё ок, проверял из вне, но так как я
в этом не спец - кажется что где-то накосячил ))
Задача простая - есть домашний роутер, из вне - нужно всё закрыть, из локалки ходи куда хочешь.
Кабель провайдера приходит на ether1, и на нём поднято PPPoE соединение в интернет.
Локальная сеть 192.168.88.0/24
Вот что у меня получилось:
[opex@MikroTik] /ip firewall address-list> print
Flags: X - disabled, D - dynamic
# LIST ADDRESS
0 LAN 192.168.88.0/24
[opex@MikroTik] /ip firewall filter> print
Flags: X - disabled, I - invalid, D - dynamic
0 D ;;; special dummy rule to show fasttrack counters
chain=forward action=passthrough
1 ;;; mark established connections as fasttrack
chain=forward action=fasttrack-connection connection-state=established,related
2 chain=forward action=accept connection-state=established,related
3 ;;; discard invalid packages
chain=input action=drop connection-state=invalid
4 chain=forward action=drop connection-state=invalid
5 ;;; allow ping
chain=input action=accept protocol=icmp
6 ;;; work with router from LAN
chain=input action=accept connection-state=established,related,new src-address-list=LAN
7 ;;; allow new connections from LAN
chain=forward action=accept connection-state=new src-address-list=LAN
8 ;;; discard provider packets (separate rule, because I don't want log this)
chain=input action=drop in-interface=ether1
9 ;;; discard others
chain=input action=drop log=yes log-prefix="FINAL DROP"
10 chain=forward action=drop log=yes log-prefix="FINAL DROP"
[opex@MikroTik] /ip firewall nat> print
Flags: X - disabled, I - invalid, D - dynamic
0 ;;; allow requests from LAN to internet
chain=srcnat action=masquerade out-interface=internet
Посмотрите пожалуйста на мою конфигурацию фаервола, вроде всё ок, проверял из вне, но так как я
в этом не спец - кажется что где-то накосячил ))
Задача простая - есть домашний роутер, из вне - нужно всё закрыть, из локалки ходи куда хочешь.
Кабель провайдера приходит на ether1, и на нём поднято PPPoE соединение в интернет.
Локальная сеть 192.168.88.0/24
Вот что у меня получилось:
[opex@MikroTik] /ip firewall address-list> print
Flags: X - disabled, D - dynamic
# LIST ADDRESS
0 LAN 192.168.88.0/24
[opex@MikroTik] /ip firewall filter> print
Flags: X - disabled, I - invalid, D - dynamic
0 D ;;; special dummy rule to show fasttrack counters
chain=forward action=passthrough
1 ;;; mark established connections as fasttrack
chain=forward action=fasttrack-connection connection-state=established,related
2 chain=forward action=accept connection-state=established,related
3 ;;; discard invalid packages
chain=input action=drop connection-state=invalid
4 chain=forward action=drop connection-state=invalid
5 ;;; allow ping
chain=input action=accept protocol=icmp
6 ;;; work with router from LAN
chain=input action=accept connection-state=established,related,new src-address-list=LAN
7 ;;; allow new connections from LAN
chain=forward action=accept connection-state=new src-address-list=LAN
8 ;;; discard provider packets (separate rule, because I don't want log this)
chain=input action=drop in-interface=ether1
9 ;;; discard others
chain=input action=drop log=yes log-prefix="FINAL DROP"
10 chain=forward action=drop log=yes log-prefix="FINAL DROP"
[opex@MikroTik] /ip firewall nat> print
Flags: X - disabled, I - invalid, D - dynamic
0 ;;; allow requests from LAN to internet
chain=srcnat action=masquerade out-interface=internet