Как дать доступ к порту с определенных IP?

Question

[Павел Логинов]

Добрый день, нужна помощь.
И так, имеется filezilla свалка на 192.168.х.х
Имеется Mikrotik RB2011UiAS-2HnD-IN на RouterOS 6.40.7
Сделан проброс портов с микротика на filezilla server, проброс 21 порта и диапазона 50000-50100.
Доступ доступ из вне и по локалу к ftp есть, тут сообственно и сам вопрос, как сделать доступ извне только с определенных IP адресов?
При добавление внешних IP адресов в address добавлении листа в их в firewall rule\advanced\Dst. address list доступ на фтп пропадает у всех, так же было замечено, что если в этот лист добавить внешний IP микротика, доступ появляется снова, но у всех а не по прописанным IP в листе.
Информации по этой теме мало (возможно не так ищу), но собственно вопрос, как сделать доступ по определененным Ip из вне?

ip firewall nat prin
Flags: X - disabled, I - invalid, D - dynamic
0 chain=srcnat action=masquerade out-interface=ether1

1 ;;; FTP
chain=dstnat action=dst-nat to-addresses=192.168.0.6 to-ports=21 protocol=tcp in-interface=ether1 dst-port=21
log=no log-prefix=""

2 chain=dstnat

ip firewall filter print
Flags: X - disabled, I - invalid, D - dynamic
0 chain=input action=accept protocol=icmp

1 chain=input action=accept connection-state=established in-interface=ether1

2 chain=forward action=accept protocol=tcp dst-address-list=FTP in-interface=ether1 dst-port=21 log=no
log-prefix=""

3 chain=forward action=accept protocol=tcp dst-address-list=FTP in-interface=ether1 dst-port=50000-50100 log=no
log-prefix=""

4 chain=forward action=jump jump-target=customer in-interface=ether1

5 chain=customer action=accept connection-state=established

6 chain=customer action=accept connection-state=related

7 chain=input action=drop in-interface=ether1

8 chain=customer action=drop
П.С. при указывания в адрес листе внешнего IP микротика, доступ появляется но опять же у всех.

Answer 1

[parfenov_sk]

У вас везде dst-address-list=FTP, хотя вам для ограничения доступа с определенных ip нужен src-address-list=, как верно заметил beerchaser

Answer 2

[beerchaser]

1. Информации по микротику больше чем достаточно - смотрим mikrotik traffic flow
2. Ограничение доступа с адресов делается через src-address-list. Достаточно указать
в правиле ната (т.к. оно применяется первым по диаграмме traffic flow). В вашем случае-строка N 1(chain=dstnat )

Answer 3

[Максим]

Посмотрите на какой интерфейс стоит правило проброс, возможно на все интерфейсы, по этому и отваливается доступ когда вноситп адрес листы. Примените правило на интерфейс с интернетом.

Comments

[Павел Логинов]

2 chain=forward action=accept protocol=tcp dst-address-list=FTP in-interface=ether1 dst-port=21 log=no
log-prefix=""

3 chain=forward action=accept protocol=tcp dst-address-list=FTP in-interface=ether1 dst-port=50000-50100 log=no
log-prefix=""
В правилах указан интерфейс ether1, именно в этот интерфейс подключен кабель провайдера.