Задать вопрос
@configboy
Системный администратор

Как правильно настроить firewall на Mikrotik RB951Ui-2HnD?

Добрый вечер, сотрудники скорой помощи!)
Недавно взялся за настройку микротика с нуля, ранее бывало добавлял пробросы, а теперь пора основательно знакомиться.
Задача такова что нужно реализовать PPTP сервер и пробросы некоторых портов.
Начал с PPTP, все замечательно получилось, дополнив стандартную конфигурацию. Пробросы никак не идут.
Сбросил устройство к заводским, и зачистил конфигурацию. Далее по стандарту:
Сменил пароль
Переименовал порты поудобнее
Объединил LAN порты в BRIDGE
Назначил адреса WAN и BRIDGE
Прописал GATEWAY и DNS
... и т. д.
Запрещающие правила в Firewall убрал.
За основу брал статью https://habrahabr.ru/post/265387/ =))
Вот экспорт...

[admin@MikroTik] > /export
# aug/08/2017 23:36:19 by RouterOS 6.39.2
# software id = 4867-ASQG
#
/interface bridge
add name=LAN
/interface ethernet
set [ find default-name=ether2 ] name=LAN1
set [ find default-name=ether3 ] master-port=LAN1 name=LAN2
set [ find default-name=ether4 ] master-port=LAN1 name=LAN3
set [ find default-name=ether5 ] master-port=LAN1 name=LAN4
set [ find default-name=ether1 ] name=WAN
/interface bridge port
add bridge=LAN interface=LAN1
/ip address
add address=192.168.88.1/24 interface=LAN network=192.168.88.0
add address=123.123.123.123/29 interface=WAN network=123.123.123.120
/ip dns
set servers=8.8.8.8
/ip firewall filter
add action=accept chain=input protocol=igmp
add action=accept chain=input connection-state=new dst-port=3389 in-interface=LAN protocol=tcp src-address=192.168.88.0/24
add action=accept chain=input connection-mark=allow_in connection-state=new dst-port=3389 in-interface=WAN protocol=tcp
add action=accept chain=input connection-state=established,related
add action=accept chain=output connection-state=!invalid
add action=accept chain=forward connection-state=established,new in-interface=LAN out-interface=WAN src-address=192.168.88.0/24
add action=accept chain=forward connection-state=established,related dst-address=192.168.88.0/24 in-interface=WAN out-interface=LAN
/ip firewall mangle
add action=mark-connection chain=prerouting connection-state=new dst-port=3389 in-interface=WAN new-connection-mark=allow_in passthrough=yes protocol=tcp
/ip firewall nat
add action=masquerade chain=srcnat out-interface=WAN src-address=192.168.88.0/24
add action=dst-nat chain=dstnat dst-port=3389 in-interface=WAN protocol=tcp to-addresses=192.168.88.2 to-ports=3389
/ip route
add distance=1 gateway=123.123.123.121
/system clock
set time-zone-name=Asia/Almaty
/system routerboard settings
set init-delay=0s
  • Вопрос задан
  • 1555 просмотров
Подписаться 2 Оценить Комментировать
Пригласить эксперта
Ответы на вопрос 4
vdemon
@vdemon
MTCNA, MTCRE, MTCWE, MTCTCE, MTCUME, MTCIPv6E
А зачем для проброса портов его маркировать?
И ещё, откуда вы его пробрасываете? Если из интернета, то это правило не очень - "add action=accept chain=input connection-state=new dst-port=3389 in-interface=LAN protocol=tcp src-address=192.168.88.0/24"
Здесь указано, что входящий интерфейс локалка, а должен быть wan интерфейс.
В фаерволле вы просто разрешаете соединение на этот порт-
action=accept chain=forward dst-port=3389 in-interface=WAN protocol=tcp
И это проходящий трафик для роутера, а не входящий.
Ответ написан
icCE
@icCE
youtube.com/channel/UC66N_jRyZiotlmV95QPBZfA
Для проброса портов дальше в сеть используется таблица в NAT.
Действия для этого лучше использовать netmap, хотя не кто не запрещает использовать dst-nat.

самый просто пример проброса RDP

add action=netmap chain=dstnat dst-port=3389 in-interface=ether1 protocol=tcp \
to-addresses=192.168.88.10 to-ports=3389

Все что попадет в input ether 1 на 3389 порт, будет выкинуто на 3389 порт машины 192.168.88.10
Ответ написан
@adrian_bk
It специалист, системное администрирование
Вот как про проброс портов https://lantorg.com/article/probros-portov-na-mikrotik
Ответ написан
Комментировать
@configboy Автор вопроса
Системный администратор
Всем большое спасибо! С задачей я справился, и VPN и пробросы sip с RTP и NAT и переход на внешний адрес из локальной сети
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы