Hirdetés

  2. Fórumok
  3. Hálózat, szolgáltatók
  4. Mikrotik routerek
  • Téma összefoglaló
    Utoljára frissítve: 2025-08-03 17:27

    LOGOUT

    Mikrotik routerekkel foglalkozó téma. Mikrotik router típusok, hardverek, router beállítások, programozás (scriptek írása), frissítés, és minden Mikrotik routerrel kapcsolatos beszélgetés helye.

Új hozzászólás Aktív témák

  • #1741 MtHq tag nyilasmisi #1739
    Új Válasz #1741
    Új hozzászólás
    Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
    Privát üzenet küldése

    MtHq

    tag

    válasz nyilasmisi #1739 üzenetére

    Nem vagyok nagy tűzfal guru, de szerintem a tűzfalban, a forward chainben engedélyezni kell a kapcsolatot egy accept szabállyal. A NAT szabályod jó, de nem jelöl meg IN interfacet, én megadnám neki a Digi PPPOE interfacet. Pl:

    /ip firewall nat
    add action=masquerade chain=srcnat out-interface=pppoe-out1-Digi
    add action=dst-nat chain=dstnat in-interface=pppoe-out-1-Digi dst-port=8292 protocol=tcp to-addresses=172.16.1.1 to-ports=8291
    add action=dst-nat chain=dstnat in-interface=pppoe-out-1-Digi dst-port=22000 protocol=tcp to-addresses=172.16.1.1 to-ports=80

    Normál esetben azt mondanám, hogy ne in-interfacet adj meg, hanem dst-address-t (a WAN ip címed), de digi esetében az kb 1-2 naponta változik, így érdemesebb így megoldani, ha nem akarsz scriptelni.

    A tűzfaladba beraktam két sort, próbáld meg így:
    /ip firewall filter
    add action=drop chain=input connection-state=invalid
    add chain=input connection-state=established,related
    add action=jump chain=input in-interface=bridge-local jump-target=input-internal
    add action=jump chain=input in-interface=pppoe-out1-Digi jump-target=input-net
    add action=drop chain=input
    add chain=input-net dst-port=80,8291,2000 protocol=tcp
    add action=drop chain=input-net src-address-list=blacklist
    add chain=input-net protocol=icmp
    add action=add-src-to-address-list address-list=blacklist-ftp address-list-timeout=3d chain=input-net dst-port=21 protocol=tcp
    add action=add-src-to-address-list address-list=blacklist-ssh address-list-timeout=3d chain=input-net dst-port=22 protocol=tcp
    add action=add-src-to-address-list address-list=blacklist-telnet address-list-timeout=3d chain=input-net dst-port=23 protocol=tcp
    add action=drop chain=input-net
    add chain=input-internal
    add action=drop chain=forward connection-state=invalid
    add chain=forward connection-state=established,related
    add chain=forward dst-address=172.16.1.1 dst-port=8292 protocol=tcp
    add chain=forward dst-address=172.16.1.1 dst-port=22000 protocol=tcp
    add action=jump chain=forward jump-target=forward-net out-interface=pppoe-out1-Digi
    add action=jump chain=forward jump-target=forward-internal out-interface=bridge-local
    add action=drop chain=forward
    add chain=forward-net in-interface=bridge-local src-address=172.16.1.0/24
    add action=drop chain=forward-net
    add action=drop chain=forward-internal

    Most nézegetem utólag, a Mikrotik fő routered IP címe 172.16.1.1? Mert akkor se a tűzfal se a NAT szabály nem jó! A dst addresshez a hAP címét írd.

    Tűzfal:
    add chain=forward dst-address=172.16.1.<hap> dst-port=8292 protocol=tcp
    add chain=forward dst-address=172.16.1.<hap> dst-port=22000 protocol=tcp

    Nat:
    add action=dst-nat chain=dstnat in-interface=pppoe-out-1-Digi dst-port=8292 protocol=tcp to-addresses=172.16.1.<hap> to-ports=8291
    add action=dst-nat chain=dstnat in-interface=pppoe-out-1-Digi dst-port=22000 protocol=tcp to-addresses=172.16.1.<hap> to-ports=80

Új hozzászólás Aktív témák