Mikrotik, блокировка всего трафика, кроме одного порта?

Question

[Артур Артур]

Добрый!
Есть локальная сеть конторы 192.168.0.0/24. Один порт роутера выделен в отдельную сеть 172.16.0.0/24. В этой сети VPN сервер с адресом 172.16.0.2. Хочу запретить весь трафик с сети 172.16.0.0/24 в сеть 192.168.0.0/24, кроме пакетов с адреса 172.16.0.2 по tcp порту 12345 на 192.168.0.2 tcp 3389

Answer 1

[Никита Сизов]

А в чем проблема? Вы так подробно всё расписали, что тут и думать не надо. Только странно как-то, не могу представить кейс, в котором будет нужна такая конфигурация.
/ip firewall filter
add chain=forward src-port=12345 dst-port=6336 protocol=tcp src-address=172.16.0.2 dst-address=192.168.0.2
add action=drop chain=forward src-address=172.16.0.0/24 dst-address=192.168.0.0/24

Comments

[Артур Артур]

А теперь самая соль, это не работает! Если разрешить только трафик по порту 12345, то он не пробрасывается на 33 89. Начинает работать только после того как разрешить 3389. Что за нах

[Никита Сизов]

Артур Артур: Ну так бы сразу и сказал: "хочу NAT". А то "запретить трафик", "порты"... )
/ip firewall filter
add chain=forward dst-port=3389 protocol=tcp src-address=172.16.0.0/24 dst-address=192.168.0.2
add action=drop chain=forward src-address=172.16.0.0/24 dst-address=192.168.0.0/24
/ip firewall nat
add action=dst-nat chain=dstnat dst-address=172.16.0.2 dst-port=12345 protocol=udp to-addresses=\
192.168.0.2 to-ports=3389

[Никита Сизов]

в последней строчке protocol=tcp

[Артур Артур]

не работает. Можешь потестить на виртуалках, если разрешаю 3389 то по не стандартному ходит трафик, а так быть не должно

[Никита Сизов]

Нат обрабатывается раньше фильтра, и ему по фигу, что ты уверен, что так быть не должно. Не понимаешь - кури микротик пакет флоу до просветления.

[Артур Артур]

не обижай меня) Если изменить стандартный порт RDP на самой машине к которой подключаемся, к примеру на 12345, то все работает. А Ваша конфа скопированная и исправленная в том месте где вы ошиблись результата не дает. Спасибо Вам большое. Но вопрос по прежнему открыт

[Никита Сизов]

Артур Артур: Прости за резкость. Если ты рассчитываешь на решение вопроса, надо собрать информации побольше, чем просто "не работает". У меня указанные правила работают без проблем на десятке роутеров. Возможно, мешает что-то другое в твоей конфигурации. Порядок правил также важен.
На вы (и тем более на Вы :) не обязательно.

[Артур Артур]

Никита Сизов То что я писал выше, происходило на абсолютно чистом роутере, для эксперемента попробовал на виртуалках, в один интерфейс одна ВМ в другой другая ВМ. Дело в том что трафик проходит на 12345, а обратно возвращается на 3389. Попробуй воспроизвести

[Gregory]

покажите ваш полный конфиг устройства

[Артур Артур]

Maxlinus Я пробовал это на совершенно новой ВМ. На ней ничего нет кроме правила NAT

[Никита Сизов]

Артур Артур: Все равно покажите. /export compact. И еще раз, только внятно - чего хотите добиться.