Как заставить работать Web Proxy на mikrotik RB951Ui-2HnD?

Question

[bram4eg]

Прошу помощи, настроил web proxy на порту 8080 на своем микротике, в подробности вдаваться не буду, настраивается он элементарно, прописано для теста пару сайтов которые необходимо блокировать, и все бы хорошо, НО!
Есть в файерволе правило chain=input, action=drop которое блокирует весь трафик на input который я не разрешил в правилах, данное правило стоит ниже всех правил цепочки input соответственно. При выключении этого правила proxy работает замечательно, страницы блокируются, разрешенные открываются, при включении правила не открываются никакие страницы, ни разрешенные ни запрещенные.
Методом проб было выявлено что если это блокирующее правило привести к такому виду:
chain=input
protocol=tcp
src.port=!80 (прошу обратить внимание на восклицательный знак)
dst.port=!8080
action=drop
src.addr. list (список адресов под которые попадает данное правило, в моем примере в него входит тестовый комп)

то прокси опять начинает работать как надо.
Но я хочу, чтобы весь остальной трафик который я не разрешил дропался на input, создаю снова правило chain=input, action-drop, делаю его последним и прокси отказывается работать, что делать, как быть, куда смотреть?

Comments

[Choks]

Чтобы прокси(и не только он) нормально работал нужно содать правило , которое будет выше блокирующего все

chain=input
comment="established, related wan "
connection-state=established,related
in-interface=WAN interface

Это правило позволяет получать ответы на исходящие запросы.
Оно есть в начальной конфигурации микротика, если используются какието сервисы микротика (proxy, pptp server ...) нужно его оставить активным

Answer 1

[bram4eg]

Переброс у меня настроен во вкладке NAT
chain=dst-nat
protocol=tcp
Src. Adress = айпи моего тестого компа.
dst-port=80
action=redirect to ports 8080

данное правило находится ниже правила маскарада

Comments

[Илья Ефимов]

NAT - другая таблица, DNAT и SNAT - разные цепочки, порядок правил также не имеет значения. У вас проблема в таблице filter. Перефразирую, вы правилом chain=input action=drop заблочили ВЕСЬ входящий трафик. Если в вашем правиле нет полного осознания происходящего, то лучше его сформулировать как
chain=input interface=ether1 protocol=tcp dst.port=8080 action=drop
chain=input protocol=tcp src.port=80 dst.port=8080 action=accept
chain=input interface=ether1 action=drop (при внешнем интерфейсе ether1)

[bram4eg]

То что я заблочил весь трафик я понимаю, собственно так и было задумано, все что мне нужно я уже открываю разрешающими правилами, сейчас попробую вашу схему.

[bram4eg]

удалил свое правило блокировки, создал ваши три правила, картина та же, при выключении правила chain=input interface=ether1 action=drop прокси работает хорошо как только включаю интернет отваливается, собственно вот вывод ip firewall filter print
0 ;;; Accept remote
chain=input action=accept protocol=icmp log=no log-prefix=""

1 ;;; Accept remote
chain=input action=accept protocol=tcp dst-port=7022,8291,7080 log=no log-prefix=""

2 ;;; Accept L2TP
chain=input action=accept protocol=udp dst-port=1701 log=no log-prefix=""

3 ;;; Allow SNMP
chain=input action=accept protocol=udp dst-port=161 log=no log-prefix=""

4 ;;; NTP
chain=input action=accept protocol=udp src-port=123 dst-port=123 log=no log-prefix=""

5 ;;; Close proxy from inet
chain=input action=drop protocol=tcp in-interface=WAN dst-port=8080 log=no log-prefix=""

6 ;;; Allow proxy
chain=input action=accept protocol=tcp src-port=80 dst-port=8080 log=no log-prefix=""

7 ;;; drop_all
chain=input action=drop in-interface=WAN log=no log-prefix=""