Форум интернет-магазина Микрокомп
0 Список сравнения
0 Избранные товары
0
Страницы: 1
Firewall вопрос по настройке, открытие портов и тестирование
 
Доброго времени суток, уважаемые форумчане.
Недавно стал счастливым обладателем CCR-1016, ранее с маршрутизаторами Mikrotik имел незначительный опыт (подключение к интернету и настройка DHCP). Теперь же пришлось настраивать серьёзную машину под серьёзные задачи. И с одним моментом разобраться в настройке не помогло даже гугление (сплошные статьи по пробросу портов).
Собственно задача: есть две подсети (192.168.0.0/24 и 192.168.10.0/24), по первой подсети надо открыть определённый перечень портов наружу (21,80, 443 и т.д.), во второй подсети ограничений по портам не должно быть в принципе.
И ещё, тестовую конфигурацию запускать "на живую" крайне нежелательно, так что буду рад совету, как протестировать открытие портов подручными средствами.
Так что вынужден просить помощи на форуме, надеюсь на Ваши советы и примеры настройки по данному вопросу.
 
Здравствуйте. Как базовый пример:
http://wiki.mikrotik.com/wiki/Manual:IP/Firewall/NAT#Port_forwarding_to_internal_FTP_server
В чем именно возникла сложность?
 
Цитата
Здравствуйте. Как базовый пример:
http://wiki.mikrotik.com/wiki/Manual:IP/Firewall/NAT#Port_forwarding_to_internal_FTP_server
В чем именно возникла сложность?
Спасибо, что откликнулись!
Но суть в том, что именно с пробросом конкретного оборудования наружу проблем никаких (а именно это в приведённой Вами ссылке объясняется). Если конкретнее, то есть конфигурация

/ip firewall filter
1 chain=input action=accept protocol=udp
2 chain=forward action=accept protocol=udp
3 chain=forward action=accept protocol=tcp src-address=192.168.0.0/24
     src-port=53,20,21,22,2020,80,443,5190,123,110,3333,3389,23389,25,4899 log=no
     log-prefix=""
4 chain=forward action=accept protocol=udp src-address=192.168.0.0/24
     src-port=53,20,21,22,2020,80,443,5190,123,110,3333,3389,23389,25,4899 log=no
     log-prefix=""
5 chain=forward action=accept protocol=tcp dst-address=192.168.0.0/24
     dst-port=53,20,21,22,2020,80,443,5190,123,110,3333,3389,23389,25,4899 log=no
     log-prefix=""
6 chain=forward action=accept protocol=udp dst-address=192.168.0.0/24
     dst-port=53,20,21,22,2020,80,443,5190,123,110,3333,3389,23389,25,4899 log=no
     log-prefix=""
7 chain=input action=drop log=no log-prefix=""
8 chain=forward action=drop log=no log-prefix=""

Теперь вопрос: будут ли с такой конфигурацией указанные порты открыты для пользователей в подсети 192.168.0.0/24 ?
Данный пример - не тестированная отсебятина, так что хотелось бы увидеть работоспособные примеры
 
У вас второе правило разрешает весь udp трафик и нет смысла в разрешающих правилах ниже для udp трафика.
 
Цитата
У вас второе правило разрешает весь udp трафик и нет смысла в разрешающих правилах ниже для udp трафика.
Спасибо за подсказку!
Но хотелось бы в остальном понять, рабочая данная конфигурация или требуется доработка или исправления. На рабочем примере было бы проще это понять.
 
Такие настройки неверны в плане того что запросы к серверу идут на определённый адрес, к примеру 80, а ответ от сервера уходит по любому выбранному сервером. То есть к пользователю возвращается отличные от указанных портов, и следовательно ответ пользователь не получит.
(Добавление)
Цитата
надо открыть определённый перечень портов наружу
Можно открыть подключение к микротику с пробросом портов на сервер, а можно открыть доступ пользователям в интернет по определённым портам, вопрос задан не определённо.
 
Цитата
Такие настройки неверны в плане того что запросы к серверу идут на определённый адрес, к примеру 80, а ответ от сервера уходит по любому выбранному сервером. То есть к пользователю возвращается отличные от указанных портов, и следовательно ответ пользователь не получит.
(Добавление)
Цитата
надо открыть определённый перечень портов наружу
Можно открыть подключение к микротику с пробросом портов на сервер, а можно открыть доступ пользователям в интернет по определённым портам, вопрос задан не определённо.

Извиняюсь за неясную формулировку, нужно именно открыть доступ пользователям в интернет по определённым портам.
 
Из приведённых портов вы открыли практически всё, так стоит ли заморачиваться с этим.
Проще заблокировать всё и открыть нужные ресурсы.
 
Всем спасибо за подсказки. По совету alexnov66 запретил все порты и разрешил только необходимые.
Страницы: 1