MikroTik — возможно ли ограничение доступа к проброшенному порту по ряду IP-адресов?

Question

[Михаил М]

Имеется MikroTik на котором проброшены порты к серверам RDP и FTP. Возможно ли разрешить доступ к этим сервисам для нескольких определенных IP-адресов, а всем остальным - запретить?

Answer 1

[lexalex]

Легко

/ip firewall address-list
add address=8.8.8.8 disabled=no list=whitelist
add address=8.8.8.8 disabled=no list=whitelist

#замените 8.8.8.8 на ваши адреса

/ip firewall filter
add action=accept chain=input in-interface=WAN connection-state=new dst-port=20,21,3389 protocol=tcp src-address-list=whitelist
add action=drop chain=input in-interface=WAN connection-state=new dst-port=20,21,3389 protocol=tcp

#замените wan на название вашего внешнего интерфейса
#удостоверьтесь после добавление новых правил, что перед ними нет запрещающих правил под которые могут попадать входящие разрешенные пакеты

Comments

[Михаил М]

Не срабатывает правило drop. Хотя настройки сделал по Вашему примеру и логически они должны работать. Правил в firewall всего два - те что указаны выше.

[lexalex]

/ip firewall filter print stats
что показывает
нужно выяснить проходят ли пакеты через firewall

[lexalex]

так же посмотрите включен ли трекинг:
/ip firewall connection tracking print

[Михаил М]

# CHAIN ACTION BYTES PACKETS
0 input accept 0 0
1 input drop 800 16

[Михаил М]

enabled: auto
tcp-syn-sent-timeout: 5s
tcp-syn-received-timeout: 5s
tcp-established-timeout: 1d
tcp-fin-wait-timeout: 10s
tcp-close-wait-timeout: 10s
tcp-last-ack-timeout: 10s
tcp-time-wait-timeout: 10s
tcp-close-timeout: 10s
udp-timeout: 10s
udp-stream-timeout: 3m
icmp-timeout: 10s
generic-timeout: 10m
max-entries: 524288
total-entries: 24

[Михаил М]

lexalex: результаты print - выше

[lexalex]

Михаил М: firewall корректно настроен.. могу только предложить удаленно подключиться
для этого нужно создать пользователя с правами на чтение: /user add name=test group=read
ip-адрес ваш внешний

[Михаил М]

lexalex: подумаю над предложением. а возможно, что пакеты идут минуя фильтр? дело в том что если в NAT отключить правило - то оно корректно отключается. а вот с фаерволом такое не срабатывает. как проверить путь пакетов? и меня удивило, что всего два правила.

[lexalex]

есть подозрения, что у вас нат настроен некорректно, выполните:
/ip firewall nat print

[Михаил М]

lexalex:
0 chain=srcnat action=masquerade out-interface=ether1 log=no log-prefix=""

1 ;;;PF
chain=dstnat action=netmap to-addresses=192.168.0.20 to-ports=3389 protocol=tcp in-interface=ether1 dst-port=3389
log=yes log-prefix="3389"

2 ;;; FTP Server
chain=dstnat action=netmap to-addresses=192.168.0.8 to-ports=21 protocol=tcp in-interface=ether1
dst-port=21000 log=no log-prefix=""

[lexalex]

кажется косяк в моих правилах
удалите правила из фильтра все и добавьте заново:
/ip firewall filter
add action=accept chain=forward connection-state=new dst-port=20,21,3389 protocol=tcp src-address-list=whitelist
add action=drop chain=forward connection-state=new dst-port=20,21,3389 protocol=tcp

[Михаил М]

lexalex: вроде заработало! спасибо!
p.s. предыдущий комментарий отписал рано - был подключен с адреса не из whitelist'а :)

[lexalex]

косяк был в том, что для первого варианта фильтрующие правила применялись для входящих пакетов на заданном интерфейсе, но правила dstnat отрабатывают до фильтрующих правил (на микротике следующий порядок: dstnat, filter,srcnat), т.о. все пакеты обработанные натом нужно ловить на этапе forward

[Михаил М]

lexalex: обнаружил недостаток: данный mikrotik соединен с другими сетями по VPN, в тех сетях есть сервера к которым надо подключиться по RDP. не пропускает, пока не отключишь правило drop. пробовал устроить различные цепочки, не вышло. может есть идеи? :) добавлять в whitelist серые IP не разумно.

[lexalex]

Замените запрещающее правило на:
add action=drop chain=forward connection-state=new dst-port=20,21,3389 protocol=tcp src-address=!192.168.0.0/24
#где 192.168.0.0/24 ваша сеть

[Михаил М]

lexalex: да, вариант. только: 1) dst-address=!192.168.0.0/24 2)а если сетей несколько?

[lexalex]

Михаил М: вы написали, что вам нужно подключаться из вашей сети к сервеарам в других сетях, это правило будет работать, но не подойдёт если требуется подключаться из других сетей к вашим серверам

[Михаил М]

lexalex: верно. из моей сети в сеть удаленную. правило заработало с dst-address. все сети 192.168.x.0, заменил маску на /17 - работает (мне достаточно данной маски)

[lexalex]

Михаил М: т.е. сейчас у вас правило выглядит так: action=drop chain=forward connection-state=new dst-port=20,21,3389 protocol=tcp src-address=!192.168.0.0/17 и всё ок?

[Михаил М]

lexalex: нет, с вариантом dst-address=!192.168.0.0/17. но почему то работают оба варианта - и с src-address=!192.168.0.0/17

[lexalex]

Михаил М: с dst-address=!192.168.0.0/17 у вас не будут блокироваться подключения к вашим серверам из интернета, можете проверить
а почему 17 подсеть, ваша сеть такая большая?

[Михаил М]

lexalex: оставил вариант с src-address. /17 потому что есть "филиалы" с подсетью 192.168.99.0.

Answer 2

[Rsa97]

Возможно. Просто закройте в файрволе вход на эти порты с этих адресов.

Comments

[Михаил М]

Поправил формулировку, нужно именно разрешить для определенных белых IP. остальным - запретить.

[jidckii]

Михаил М: сначала для тех кому можно ACCEPT, в конце правило для всех DROP!

[Михаил М]

jidckii: можно чуть подробнее? нужно создать еще правила в IP/Firewall/NAT и выставить для них порядок?

[jidckii]

Михаил М: не знаю, как точно это в микротике, в линуксе вот так:
Сначала разрешаем тем, кому можно:
iptables -A INPUT -i <ваш интерфейс> -s < ip > --dport < порт > -j ACCEPT
iptables -A INPUT -i <ваш интерфейс> -s < ip > --dport < порт > -j ACCEPT
(таких правил может быть хоть сколько)
потом рубим всем остальным
iptables -A INPUT -i <ваш интерфейс> --dport < порт > -j DROP

[Rsa97]

Михаил М: Создаёте в firewall правила для цепочки input. Сначала accept для каждого из белых адресов (src address) на нужный порт (dst port), затем drop для всех на это же порт.