Как правильно настроить firewall на Mikrotik RB951Ui-2HnD?

Question

Евгений Емельянов @configboy

Системный администратор

Как правильно настроить firewall на Mikrotik RB951Ui-2HnD?

Добрый вечер, сотрудники скорой помощи!)
Недавно взялся за настройку микротика с нуля, ранее бывало добавлял пробросы, а теперь пора основательно знакомиться.
Задача такова что нужно реализовать PPTP сервер и пробросы некоторых портов.
Начал с PPTP, все замечательно получилось, дополнив стандартную конфигурацию. Пробросы никак не идут.
Сбросил устройство к заводским, и зачистил конфигурацию. Далее по стандарту:
Сменил пароль
Переименовал порты поудобнее
Объединил LAN порты в BRIDGE
Назначил адреса WAN и BRIDGE
Прописал GATEWAY и DNS
... и т. д.
Запрещающие правила в Firewall убрал.
За основу брал статью https://habrahabr.ru/post/265387/ =))

Вот экспорт...

[admin@MikroTik] > /export
# aug/08/2017 23:36:19 by RouterOS 6.39.2
# software id = 4867-ASQG
#
/interface bridge
add name=LAN
/interface ethernet
set [ find default-name=ether2 ] name=LAN1
set [ find default-name=ether3 ] master-port=LAN1 name=LAN2
set [ find default-name=ether4 ] master-port=LAN1 name=LAN3
set [ find default-name=ether5 ] master-port=LAN1 name=LAN4
set [ find default-name=ether1 ] name=WAN
/interface bridge port
add bridge=LAN interface=LAN1
/ip address
add address=192.168.88.1/24 interface=LAN network=192.168.88.0
add address=123.123.123.123/29 interface=WAN network=123.123.123.120
/ip dns
set servers=8.8.8.8
/ip firewall filter
add action=accept chain=input protocol=igmp
add action=accept chain=input connection-state=new dst-port=3389 in-interface=LAN protocol=tcp src-address=192.168.88.0/24
add action=accept chain=input connection-mark=allow_in connection-state=new dst-port=3389 in-interface=WAN protocol=tcp
add action=accept chain=input connection-state=established,related
add action=accept chain=output connection-state=!invalid
add action=accept chain=forward connection-state=established,new in-interface=LAN out-interface=WAN src-address=192.168.88.0/24
add action=accept chain=forward connection-state=established,related dst-address=192.168.88.0/24 in-interface=WAN out-interface=LAN
/ip firewall mangle
add action=mark-connection chain=prerouting connection-state=new dst-port=3389 in-interface=WAN new-connection-mark=allow_in passthrough=yes protocol=tcp
/ip firewall nat
add action=masquerade chain=srcnat out-interface=WAN src-address=192.168.88.0/24
add action=dst-nat chain=dstnat dst-port=3389 in-interface=WAN protocol=tcp to-addresses=192.168.88.2 to-ports=3389
/ip route
add distance=1 gateway=123.123.123.121
/system clock
set time-zone-name=Asia/Almaty
/system routerboard settings
set init-delay=0s

Вопрос задан более трёх лет назад
1554 просмотра

Комментировать

Подписаться 2 Оценить Комментировать

Пригласить эксперта

Ответы на вопрос 4

4 комментария

Евгений Емельянов @configboy Автор вопроса

Взял за основу статью, поэтому не стал убирать маркировку.
Да, пробрасываю из интернета в локалку.
Привел правила к следующему виду...

/ip firewall filter
add action=accept chain=input protocol=igmp
add action=accept chain=input connection-state=established,related
add action=accept chain=forward dst-port=3389 in-interface=WAN protocol=tcp
add action=accept chain=output connection-state=!invalid
/ip firewall mangle
add action=mark-connection chain=prerouting connection-state=new dst-port=3389 in-interface=WAN new-connection-mark=allow_in passthrough=yes protocol=tcp
/ip firewall nat
add action=masquerade chain=srcnat out-interface=WAN src-address=192.168.88.0/24
add action=dst-nat chain=dstnat dst-port=3389 in-interface=WAN protocol=tcp to-addresses=192.168.88.2 to-ports=3389

Я наверное не понимаю логику работы. На сколько успел узнать, то правила читаются по порядку. Подскажите что не так? Может не хватает хитростей в других разделах системы?
Интернет на устройстве есть, проверил через терминал
Внешний ip пингуется

Написано более трёх лет назад
Valentin Net @vdemon

Попробуйте отключить все во вкладке Mangle.
Это правило "add action=accept chain=output connection-state=!invalid" можно убрать, и так по умолчанию на выход все работает.

Написано более трёх лет назад
Valentin Net @vdemon

Так, а проверяете Вы проброс портов сидя в этой же локалке?
Если да, то гуглите такую вещь как Hairpin NAT.
Попробуйте проверить например на телефоне, с мобильного интернета.

Написано более трёх лет назад
Евгений Емельянов @configboy Автор вопроса

Валентин Net: Во вкладке Mangle все отключил, лишнее правило убрал.
Проверяю с домашнего интернета, совсем другая внешняя сеть.
Во вкладках Filter Rules и Mangle так же есть правила по умолчанию, которые были даже после удаления настроек, но счетчики на них никакие не идут.

Написано более трёх лет назад

3 комментария

Евгений Емельянов @configboy Автор вопроса

Спасибо за ответ! Всю ночь курил маны и понимал логику, в итоге 3 часа назад справился с задачей.

Написано более трёх лет назад
Vladimir Zhurkin @icCE

configboy: ну скажи так, что вам там маркировка пакетов вообще не нужна.
Еще отмечу, что в общем голой задницей RDP лучше не ставить.
Боты налетят очень быстро и будут долбится. При этом, скрипт который ходят по инету для отсекания ботов по rdp не очень работоспособный, так как он рассчитывает на разрыв соединения, что боты не делают. Метод борьбы есть, но лучше все эти вещи убрать за vpn. При этом конечно не pptp, а l2tp хотя бы. pptp так же будут насиловать боты, да и по безопасности он уже давно не свеж.

Добавить дропов от сканеров
https://wiki.mikrotik.com/wiki/Drop_port_scanners

как вариант сделать маркировку пакетов для удобства, но это на усмотрение.
https://wiki.mikrotik.com/wiki/Dmitry_on_firewalling

Все остальное переходами по ссылкам найдете сами.

Можно еще почитать
https://spw.ru/solutions/nastrojka_filtracii_trafi...

Написано более трёх лет назад
Vladimir Zhurkin @icCE

configboy:
>Всю ночь курил маны

https://www.youtube.com/watch?v=h-Qu54C8YRk

Написано более трёх лет назад

Комментировать

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы

Системное администрирование

+1 ещё

Простой
Почему в Mikrotik Bridge Hosts MAC есть, а в ARP List его нет?
- 1 подписчик
- 4 часа назад
- 32 просмотра
1

ответ
OpenVPN

+3 ещё

Простой
WAN pfSense — NAT — VPN — Outbound?
- 1 подписчик
- 17 часов назад
- 33 просмотра
0

ответов
Mikrotik

Средний
Mikrotik объединение главного офиса и филиалов?
- 2 подписчика
- вчера
- 208 просмотров
1

ответ
Системное администрирование

+2 ещё

Простой
Как зайти на подконтрольный роутер?
- 1 подписчик
- вчера
- 102 просмотра
0

ответов
Mikrotik

Сложный
Mikrotik создаёт записи (resolve) ip адресов запрещённых в РФ. Как отключить?
- 1 подписчик
- вчера
- 87 просмотров
2

ответа
VPN

+3 ещё

Сложный
Как настроить MikroTik в одну подсеть на нескольких подразделениях?
- 2 подписчика
- 14 нояб.
- 274 просмотра
1

ответ
Mikrotik

Средний
Как на Miktotik пустить трафик для определенного сайта через Wireguard?
- 2 подписчика
- 13 нояб.
- 249 просмотров
2

ответа
Компьютерные сети

+3 ещё

Простой
Как правильно настроить мост на Mikrotik?
- 3 подписчика
- 11 нояб.
- 479 просмотров
1

ответ
Компьютерные сети

+1 ещё

Простой
Как настроить порты для 10/40 Гигабитых скоростей?
- 2 подписчика
- 11 нояб.
- 319 просмотров
1

ответ
Mikrotik

Простой
Как вытащть командой :put адрес с префиксом 32?
- 1 подписчик
- 11 нояб.
- 53 просмотра
1

ответ
Показать ещё Загружается…

Сетевой инженер

Cloud4Y • Ярославль

от 150 000 до 250 000 ₽

Сетевой инженер

Cloud4Y • Москва

от 250 000 до 350 000 ₽

Ведущий системный администратор

ФИНФОРТ • Краснодар

от 200 000 ₽

Для личного использования требуется развернуть почтовый сервер

16 нояб. 2024, в 18:29

5000 руб./за проект

ELT и EDA ABC-XYZ анализ RFM-анализ+ обучение

16 нояб. 2024, в 18:27

2000 руб./за проект

Cделать проект на Pyqt

16 нояб. 2024, в 18:15

1000 руб./за проект

Answer 1 · 2017-08-08 21:38:36

А зачем для проброса портов его маркировать?
И ещё, откуда вы его пробрасываете? Если из интернета, то это правило не очень - "add action=accept chain=input connection-state=new dst-port=3389 in-interface=LAN protocol=tcp src-address=192.168.88.0/24"
Здесь указано, что входящий интерфейс локалка, а должен быть wan интерфейс.
В фаерволле вы просто разрешаете соединение на этот порт-
action=accept chain=forward dst-port=3389 in-interface=WAN protocol=tcp
И это проходящий трафик для роутера, а не входящий.

Answer 2 · 2017-08-09 06:10:29

Для проброса портов дальше в сеть используется таблица в NAT.
Действия для этого лучше использовать netmap, хотя не кто не запрещает использовать dst-nat.

самый просто пример проброса RDP

add action=netmap chain=dstnat dst-port=3389 in-interface=ether1 protocol=tcp \
to-addresses=192.168.88.10 to-ports=3389

Все что попадет в input ether 1 на 3389 порт, будет выкинуто на 3389 порт машины 192.168.88.10

Answer 3 · 2017-08-22 01:15:46

Вадим @adrian_bk

It специалист, системное администрирование

Вот как про проброс портов https://lantorg.com/article/probros-portov-na-mikrotik

Ответ написан более трёх лет назад

Комментировать

Answer 4 · 2017-08-22 05:19:28

Евгений Емельянов @configboy Автор вопроса

Системный администратор

Всем большое спасибо! С задачей я справился, и VPN и пробросы sip с RTP и NAT и переход на внешний адрес из локальной сети

Ответ написан более трёх лет назад

Комментировать

Как правильно настроить firewall на Mikrotik RB951Ui-2HnD?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт