flapflapjack
@flapflapjack
на треть я прав

Как правильно создать правило для файрвола Mikrotik?

Подскажите, как бы так правильно сделать правило в файрволе для такого вот случая:
Микротик:
95.х.х.х/32 - WAN
192.168.1.1/24 - LAN
10.0.0.1/8 - L2TP

При подключении другим устройством к L2TP микротика я получаю доступ ко всем ресурсам локальной сети 192.168.1.0/24 так, как в микроте прописан такой маршрут.

Я хочу, чтобы все established и related подключения (инициализированные из нашего офиса) из сети 192.168.1.0/24 в сеть 10.0.0.0/8 - были разрешены.

А все подключения, инициализируемые из сети 10.0.0.0/8 в сеть 192.168.1.0/24 реджектились.

Добавив правило

add action=reject chain=forward comment="from vpn" connection-state="" dst-address=192.168.1.0/24 log=yes reject-with=icmp-network-unreachable src-address=10.0.0.0/24


Но что-то как-то оно не работает. Из 192.168.1.0/24 даже пинги не проходят.
Это то оно понятно, ответ ICMP не является RELATED соединением, и не может пробиться обратно.

Вот и думаю, можно ли как-то так хитро сделать? Что-то мне сдается, что нельзя, и файрвол нужно настраивать на компах 192.168.1.0/24, а не на микротике, но все же решил попытать удачу и задать вопрос здесь.
  • Вопрос задан
  • 170 просмотров
Пригласить эксперта
Ответы на вопрос 4
@alexvdem
А все подключения, инициализируемые из сети 10.0.0.0/8 в сеть 192.168.1.0/24 реджектились.


Прошу прощения, если я чего то недопонял, а для чего тогда клиентам подключаться к вашей сети, если в конце туннеля не будет свет? ;) То есть они не смогут никуда подключится? Какой тогда смысл во всем?
Ну а насчет файрвол в принципе мысль верная, но это смотря что в сети. Если например Samba - то можно в ней настроить интерфейсы только для внутренней сети 192.168.1.0/24.
Ответ написан
@Drno
А если попробовать ip>routes>rules тут выставить?
Ответ написан
@nApoBo3
Ниже список ваших правил межсетевого экрана( который вы прислали в комментарий ).
Если мы говори о icmp запросе из 192.168.1.0/24 в 10.0.0.0/8.
Например: выполнение команды ping 10.0.0.15 на узле 192.168.1.44
Нас будут интересовать только forward правила( если нет хитрых правил pre и post routing ).
Упрощенно у нас два пакета.
Один от 192.168.1.44 к 10.0.0.15( запрос )
И ответный пакет от 10.0.0.15 к 192.168.1.44( ответ )
Запрос не подпадает не под одно правило из вашего списка( ниже ), а следовательно успешно проходит и "устанавливает" соединение( соединение появляется в connection tracking ).
Ответ на запрос подпадает под правило:

/ip firewall filter
add action=reject chain=forward comment="from vpn" connection-state="" disabled=yes dst-address=192.168.1.0/24 log=yes reject-with=icmp-network-unreachable \
src-address=10.0.0.0/8

И отбрасывается с ответом icmp-network-unreachable( зачем вы так делаете мне не понятно, вижу уже не первый раз, раньше всегда рекомендовался drop, может быть что-то поменялось ).

До правила:
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked

пакет не добирается. Вот у вас и нет ответа на пинг, т.е. пинг дошел, но ответ не пришел.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы