Проблема с пробросом портов или как правильно настроить фаервол в Mikrotik?

Question

[Valentin Net]

Добрый день, Гуру!

Практически все маны в интернете советуют в конце правил фаерволла на Микротике закрывать входящий и проходящий траффик:
/ip firewall filter add chain=forward action=drop comment="drop everything else"
Например здесь - https://bozza.ru/art-189.html#script
Но сталкиваюсь уже не впервый раз, что не работает проброс портов в локалку, когда есть такое правило.
На скринах настройка фильтра и ната. Если правило 14 включить проброс не работает.

Что я делаю не так?
И есть ли смысл в этом правиле?
Какие могут быть последствия при отключеном правиле №14?

Answer 1

[Клёвый Админ]

Покажите конфиг экспортом, на скрине с НАТ не виден итоговый порт наттинга (это важно для правил блокировки форварда), на скрине с правилами файрвола не видно что-же в итоге блокируется в тех правилах что уже есть.

Comments

[Valentin Net]

/ip firewall filter
add action=accept chain=forward connection-state=established,related
add action=accept chain=input connection-state=established,related
add action=accept chain=input in-interface=ether1 protocol=icmp
add action=accept chain=input in-interface=ether2 protocol=icmp
add action=accept chain=forward dst-address=ххх.ххх.ххх.10 dst-port=5744 \
out-interface=ether1 protocol=tcp
add action=accept chain=forward dst-address=ххх.ххх.ххх.10 dst-port=5744 \
out-interface=ether2 protocol=tcp
add action=accept chain=input dst-port=8291 protocol=tcp
add action=accept chain=input dst-port=8282 in-interface=ether1 protocol=tcp
add action=accept chain=forward dst-port=8282 in-interface=ether1 protocol=tcp
add action=accept chain=forward dst-port=8383 in-interface=ether1 protocol=tcp
add action=accept chain=forward dst-port=8484 in-interface=ether1 protocol=tcp
add action=accept chain=forward dst-port=8585 in-interface=ether1 protocol=tcp
add action=accept chain=forward dst-port=8686 in-interface=ether1 protocol=tcp
add action=accept chain=forward dst-port=8888 in-interface=ether1 protocol=tcp
add action=drop chain=output dst-address=8.8.4.4 out-interface=ether2 protocol=\
icmp
add action=drop chain=forward disabled=yes in-interface=ether1
add action=drop chain=forward in-interface=ether2
add action=drop chain=input in-interface=ether1
add action=drop chain=input in-interface=ether2
/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1
add action=masquerade chain=srcnat out-interface=ether2
add action=dst-nat chain=dstnat dst-port=8282 in-interface=ether1 protocol=tcp \
to-addresses=192.168.88.168 to-ports=80
add action=dst-nat chain=dstnat dst-port=8383 in-interface=ether1 protocol=tcp \
to-addresses=192.168.88.168 to-ports=8000
add action=dst-nat chain=dstnat dst-port=8484 in-interface=ether1 protocol=tcp \
to-addresses=192.168.88.17 to-ports=80
add action=dst-nat chain=dstnat dst-port=8585 in-interface=ether1 protocol=tcp \
to-addresses=192.168.88.17 to-ports=8000
add action=dst-nat chain=dstnat dst-port=8686 in-interface=ether1 protocol=tcp \
to-addresses=192.168.88.130 to-ports=80
add action=dst-nat chain=dstnat dst-port=8888 in-interface=ether1 protocol=tcp \
to-addresses=192.168.88.75 to-ports=80

[Valentin Net]

Я пробовал и порт в порт и нетмап. Не хочет и все...
При этом не только на этом роутере, но и на других такая же беда.
Прошивка 6.37.х

[Клёвый Админ]

Валентин Net: как можете заметить по вашим скриншотам, ваши forward правила не выполняют свою роль (это теперь видно и по конфигам), так как для forward правил, работающих совместно с NAT нужно указывать порт РЕАЛЬНОГО назначения, а не тот, что смотрит на клиента, т.е. для правила
add action=dst-nat chain=dstnat dst-port=8282 in-interface=ether1 protocol=tcp \
to-addresses=192.168.88.168 to-ports=80
в файрволе будет
add action=accept chain=input dst-port=80 in-interface=ether1 protocol=tcp

И уже после создания таких правил, блокируйте в forward всё остально. Так заработает.
В инпуте же всё стандартно, на каком порту служба торчит - его и блокируем или разрешаем.

[Клёвый Админ]

К слову, вот такие правила (оно чуть изменено, в отличии от вашего, добавлен интерфейс и только established)
add action=accept chain=forward connection-state=established in-interface=ether1

Работают немного не так, они разрешают трафик в определённом состоянии, то что выше, разрешает отвечать пакетами на уже установленные соединения. Т.е. то что выше, разрешить отвечать любому соединению (проходить трафику), которое было создано (начато) из локальной сети. Т.е. вначале создаёте все разрешаюшие правила для forward на все ваши итоговые порты (это важно, ещё раз подчёркиваю), потом создаёте правила для forward где connection-state=established и затем всё блокируете по цепочке forward

[Клёвый Админ]

Валентин Net: у вас будет в файрволе:
add action=accept chain=input dst-port=80 in-interface=ether1 protocol=tcp
add action=accept chain=input dst-port=8000 in-interface=ether1 protocol=tcp
add action=accept chain=forward connection-state=established in-interface=ether1
add action=accept chain=forward connection-state=related in-interface=ether1
add action=drop chain=forward in-interface=ether1
и в NAT как сейчас. Проверьте.

[Клёвый Админ]

Валентин Net: остальное уже будет либо в других ветках, либо для других интерфейсов, для ether1 это всё.

[Valentin Net]

Сделал вот так:

/ip firewall filter
add action=accept chain=input in-interface=ether1 protocol=icmp
add action=accept chain=input in-interface=ether2 protocol=icmp
add action=accept chain=forward dst-address=ххх.ххх.ххх.10 dst-port=5744 \
out-interface=ether1 protocol=tcp
add action=accept chain=forward dst-address=ххх.ххх.ххх.10 dst-port=5744 out-interface=ether2 protocol=tcp
add action=accept chain=input dst-port=8291 protocol=tcp
add action=accept chain=input dst-port=80 in-interface=ether1 protocol=tcp
add action=accept chain=forward disabled=yes dst-port=8282 in-interface=ether1 protocol=tcp
add action=accept chain=forward dst-port=8383 in-interface=ether1 protocol=tcp
add action=accept chain=forward dst-port=8484 in-interface=ether1 protocol=tcp
add action=accept chain=forward dst-port=8585 in-interface=ether1 protocol=tcp
add action=accept chain=forward dst-port=8686 in-interface=ether1 protocol=tcp
add action=accept chain=forward dst-port=8888 in-interface=ether1 protocol=tcp
add action=accept chain=forward connection-state=established in-interface=ether1
add action=accept chain=forward connection-state=related in-interface=ether1
add action=accept chain=input connection-state=established in-interface=ether1
add action=accept chain=input connection-state=related in-interface=ether1
add action=drop chain=output dst-address=8.8.4.4 out-interface=ether2 protocol=icmp
add action=drop chain=forward in-interface=ether1
add action=drop chain=forward in-interface=ether2
add action=drop chain=input in-interface=ether1
add action=drop chain=input in-interface=ether2

Все равно не могу зайти по порту 8282
НАТ остался без изменений

[Клёвый Админ]

Валентин Net: вы вообще видите какой я вам написал ответ? =)))
add action=accept chain=input dst-port=80 in-interface=ether1 protocol=tcp
add action=accept chain=input dst-port=8000 in-interface=ether1 protocol=tcp
add action=accept chain=forward connection-state=established in-interface=ether1
add action=accept chain=forward connection-state=related in-interface=ether1
add action=drop chain=forward in-interface=ether1
и в NAT как сейчас. Проверьте.

Обратите внимание на порты, и пишу ещё раз. ПОРТ в правиле фарварда РАВЕН томе что открыт НА сервере, а НЕ тому что вы пробросили ЧЕРЕЗ NAT.

[Valentin Net]

Я Вас прекрасно понял. Вот строчки из Вашего конфига и из моего:

add action=accept chain=input dst-port=80 in-interface=ether1 protocol=tcp
add action=accept chain=input dst-port=80 in-interface=ether1 protocol=tcp

Я не вижу разницы.
Я пока играюсь с одним портом - 8282 который внутри сети смотрит на 192.168.88.168:80
Правило где форвард и 8282 - оно выключено

[Клёвый Админ]

Валентин Net: тааак, а теперь внимание вопрос, какая ветка вот в этих правилах что вы только что написали? =)))

Ещё раз пишу вам все (больше не нужно) правила для ветки forward которые нужно вставить без изменений к вам и поставить выше остальных для FORWARD
add action=accept chain=input dst-port=80 in-interface=ether1 protocol=tcp
add action=accept chain=input dst-port=8000 in-interface=ether1 protocol=tcp
add action=accept chain=forward connection-state=established in-interface=ether1
add action=accept chain=forward connection-state=related in-interface=ether1
add action=drop chain=forward in-interface=ether1

Это всё. Правила для INPUT нарисуете отдельно.

[Клёвый Админ]

Валентин Net: И конечно же я невнимательный, ссори ссори =))
ПИшу одно а правила закопипастил =)))
add action=accept chain=forward dst-port=80 in-interface=ether1 protocol=tcp
add action=accept chain=forward dst-port=8000 in-interface=ether1 protocol=tcp
add action=accept chain=forward connection-state=established in-interface=ether1
add action=accept chain=forward connection-state=related in-interface=ether1
add action=drop chain=forward in-interface=ether1

[Клёвый Админ]

Валентин Net: вот теперь проверьте и пишите =)

[Valentin Net]

Заработало!!!

[Клёвый Админ]

Валентин Net: вооот, прошу прощения за криворукость в копипасте =)

так, теперь для инпута, разрешаете то, что нужно (не забывая, на всякий случай открыть порты для Winbox), а потом (остатком)
add action=accept chain=input connection-state=established in-interface=ether1
add action=accept chain=input connection-state=related in-interface=ether1
add action=drop chain=input in-interface=ether1

Т.е. открыли то что вам нужно: винбокс, VPN если есть, Web сервер если используете, затем открыли трафик для того что запросил сам микротик (DNS, обновления, dyndns и etc) и закрыли всё остальное.

ветку output можно не трогать совсем

[Клёвый Админ]

Валентин Net: обратите внимание, что тут уже конфиг не весь, не забудьте добавить разрешающих правил на input, я их не привожу, сами разберётесь, там просто =)

[Valentin Net]

Спасибо за помощь!

Answer 2

[Wexter]

Если в конец добавляете drop всех остальных, то нужно перед ним добавлять accept input нужных портов/протоколов для проброса

Comments

[Valentin Net]

Т.е. изменить форвард на инпут в правилах с 7 по 12?

[Wexter]

Валентин Net: да, forward нужен для разрешение/запрета прямого хождения трафика без NAT, если пробрасываете порты через nat то надо разрешать input

[Valentin Net]

Поменял форвард в 7 правиле на инпут - не работает.
Добавил рядом еще одно правило с цепочкой форвард - не работает.
Отключаю 14 правило - работает!

[Wexter]

Валентин Net: проверяете с другого канала или из локалки?

[Valentin Net]

Я дома, роутер в офисе.
Про харпин в курсе ))

Answer 3

[voltage0]

Добрый день.

По умолчанию в Mikrotik firewall разрешает весь трафик. Если не будет правила с DROP ANY, то нет смысла настраивать firewall. Логика такая, что в конце стоит правило, которое все запрещает. А перед ним стоят правила, которые разрешаю то что надо.

Если вы настраивает NAT, то в цепочке forward должно быть разрешающее правило для трафика, который попадет под ваши правила NAT.

В общем случае вы можете использовать правило вида
chain=forward action=accept connection-nat-state=dstnat log=no log-prefix=""
которое говорит, что пропускать весь трафик который прошел через dstnat

Comments

[Valentin Net]

А как лучше? Использовать chain=forward action=accept connection-nat-state=dstnat
или прописывать каждый порт в отдельности?