Здравствуйте, дана сеть 192.168.0.0/24 и mikrotik rb750 в качестве основго шлюза который смотрит в интернет. Как я настривал mikrotik: подключился к winbox сбросил настройки, снова подключился через winbox, появилось окно со скриптом начальной настройки, я согласился с настройками. Правила фаервола и nat были созданы автоматический. Такая конфигурация меня вполне устроила, но не помешает запретить хостам из сети 192.168.0.0/24 устанавливать соединения с интернетом по портам 1025-65536. Как это настроить?
А почему вы не справились самостоятельно?
ip firewall filters add chain=forward protocol=tcp dst-port=1025-65536 action=drop src-address=192.168.0.0/24 comment="drop tcp 1025-65536"
ip firewall filters add chain=forward protocol=udp dst-port=1025-65536 action=drop src-address=192.168.0.0/24 comment="drop udp 1025-65536"
И зачем вам это нужно? Что у вас пользователи такого могут скачать\сделать, что вы им порты режете? Потенциальное огребалово превышает уровень безопастности.
1. Не справился т.к. не знаю как создавать правила через шелл, и вобще плохо представляю что там за chain'ы такие.
2. Нужно, чтобы с пользовательских устройств нельзя было качать торренты и устанавливать vpn-соединения по стандартным портам. Мало кто из пользователей умеет менять порты в настройках торрент клиента, а по умолчанию там стоит чтото типа 59344
m2_viktor: работайте через веб или winbox. Не думайте что не знание консоли это круче чем знание gui интерфейса.
А чайны - цепочки - трафика там такие: внутрь (всё что идёт в само устройство, к его сервисам), наружу (всё что идёт от самого устройство, от его сервисов) и сквозь.
Евгений Быченко: У тебя синтаксическая ошибка ip firewall filter без буквы s должно быть. И на диапазон тоже ругается. Но мне это уже не надо я через веб интерфейс научился. Теперь у меня другой вопрос: Есть ли приоритеты у правил в таблице Filter rules? Чего вобще хочу создать 3 правила, первое блокирует порты 1-65536 для всех. Второе правило разрешает группе адресов использовать порты 53, 80, 443, 465, 993, 995. Третье правило разрешает другой группе хостов 1-1024. Но не получается так сделать, потомучто первое правило блокирует 1-65536 абсолютно для всех, и другие разрешающие правила уже не действут. Как быть?
Еще такой вопрос появился: У меня в локальной сети есть RDP-сервер, к нему можно подключиться из интернета по внешнему ip-адресу, на микротике я создал соответствующее правило в NAT где указал ip-адрес RDP-сервера в локальной сети и порт по которому RDP доступен. Потом я заблокировал весь трафик с 1025 по 65536 в цепочке forward для 192.168.0.0/24.
Теперь имею такую ситуацию: 2 rdp-клиента из разных частей города подключаются и работают, а еще 1 rdp-клент не может подключится, если дейсвтует правило блокироующее 1025 по 65536. Не понимаю как это можно объяснить и где искать.
m2_viktor: Виктор, всё потому что просто так блокировать порты - плохая затея.
Создавайте разрешающие правила и исследуйте ваш конфиг. Ищите проблему. Уверяю, есть ошибка.
"И зачем вам это нужно?" - я так временно закрывал 25-й порт для определенного IP, пока не полечил машину. Ишла масовая рассылка спама - грозили блокануть сеть, или часть сети.
filter(s) - без "s"
Простой
