Mikrotik IPv4/IPv6 firewall

**deniSun** · 24-04-17, 11:02

Αρχικό μήνυμα από teodor_ch

??????????????????

1) τί συνέχεια? αν δεν την αφήσεις και στο forward πώς θα περάσει?
2) Δε νομίζω να είναι θέμα βολέματος....
Αντί για

x κανόνες dst-nat στην καρτέλα ΝΑΤ
συν δύο στο Filter
Σύνολο = χ + 2

βάζεις
χ στο ΝΑΤ
συν 2*χ στο Filter
Σύνολο = χ + 2*χ

δε το χαρακτηρίζω για να μή παρεξηγηθώ!

Ε... αυτό λέω.
Το αφήνω και στο forward παρακάτω.

Τώρα για τον χαρακτηρισμό που λες... όπως αναπαύεσαι...

**teodor_ch** · 24-04-17, 11:21

Αρχικό μήνυμα από deniSun

Τώρα για τον χαρακτηρισμό που λες... όπως αναπαύεσαι...

Γράφω και ένα παράδειγμα για να δώσω περισσότερη έμφαση!

Για μόνο 5 dst-nat με in-interface=pppoeout
αντί για 7 κανόνες βάζεις 21!!!

- - - Updated - - -

Αρχικό μήνυμα από macro

Και εγω τον εκλεισα στο firewall για δοκιμη και το port check tool μου τη δειχνει κλειστη.

Το δοκίμασα σε 2 διαφορετικά online port scanners

Κώδικας:

Scanning ports on teodor.duckdns.org

teodor.duckdns.org` isn't responding on port 53987 ().

Κώδικας:

[+] Nmap scan report for teodor.duckdns.org (94.71.x)
Host is up (0.080s latency).

PORT      STATE SERVICE
53987/tcp open  unknown

Σε browser που δοκίμασα να μπώ μου ανοίγει τη σελίδα.
Δε ξέρω γιατί. Κοίταξα τους κανόνες μου και δεν θα έπρεπε.

Είναι το κλασσικό
allow from lan
allow established, related
drop invalid
drop all others

**deniSun** · 24-04-17, 11:22

Αρχικό μήνυμα από teodor_ch

Γράφω και ένα παράδειγμα για να δώσω περισσότερη έμφαση!

Για μόνο 5 dst-nat με in-interface=pppoeout
αντί για 7 κανόνες βάζεις 21!!!

Το είπαμε αυτό.

**teodor_ch** · 24-04-17, 11:23

Αρχικό μήνυμα από deniSun

Το είπαμε αυτό.

Αν διαβάσεις τη πρώτη γραμμή του ποστ σου εξηγώ το λόγο που το γράφω....

**deniSun** · 24-04-17, 11:36

Αρχικό μήνυμα από teodor_ch

Αν διαβάσεις τη πρώτη γραμμή του ποστ σου εξηγώ το λόγο που το γράφω....

Αλλά σου έγραψα και κάτι άλλο:

2. Όπως βολεύεται κανείς.

**macro** · 24-04-17, 14:53

Κατα αρχην μη τσακωνομαστε παλι σα μικρα παιδακια. Deni input δε χρειαζεται να κανεις, περιτευει σα κανονας μιας και με μονο forward στο filter παιζει. Εκτος και αν κανεις κατι παραπανω που δε το εχεις πει και σου χρειαζεταο το input.

Αν συμφωνουμε τελικα ολοι οτι αυτος ο κανονας ειναι καλυτερος απο το να γεμιζουμε το filter με πολλους κανονες ας μπει στο universal firewall. Αν οχι οπως βολευεται ο καθενας.

**teodor_ch** · 24-04-17, 15:18

Αρχικό μήνυμα από macro

Κατα αρχην μη τσακωνομαστε παλι σα μικρα παιδακια. Deni input δε χρειαζεται να κανεις, περιτευει σα κανονας μιας και με μονο forward στο filter παιζει. Εκτος και αν κανεις κατι παραπανω που δε το εχεις πει και σου χρειαζεταο το input.

Όντως δεν χρειάζεται στο input εκτός αν κάνεις και ΓΙΑ το μικροτικ dst-nat πράγμα μή αναγκαίο αφού αν είναι αλλάζεις κατευθείαν την εκάστοτε θύρα (πχ. winbox).

Είχα την εντύπωση ότι για να φτάσει στη forward chain περνάει απο την input αλλά βλέποντας καλύτερα εδώ
μετά την prerouting πάει Routing decision και ανάλογα input Ή forward

**deniSun** · 24-04-17, 17:51

Με την δήλωση:

Κώδικας:

/ip firewall filter
add action=accept chain=forward comment="Accept PF All DstNat" connection-nat-state=dstnat connection-state=new in-interface=all-ppp

Πιθανόν και να μην χρειάζεται.
Δεν το έχω δοκιμάσει.

Στο δικό μου configuration όμως είναι απαραίτητη η δήλωση input για να πάει παραμέσα.

**macro** · 24-04-17, 18:49

Κοιτα τι νομιζω εγω χωρις να εχω δοκιμασει κατι. Απο τι στιγμη που κατι ειναι dstnat εχει περασει και απο input αναγκαστικα. Αλλιως δε θα περναγε καν ΝΑΤ. Δε θα δουλευε η δηλωση εκει δλδ. Σαφως και μπορει να εχω λαθος βεβαια. Ενα σκεπτικο λεω.

Απο τη μικροτικ παντως βλεπω οτι τη δηλωση αυτη που εδωσα, σαν forward την δινουν.

**teodor_ch** · 24-04-17, 21:31

Αρχικό μήνυμα από macro

Κοιτα τι νομιζω εγω χωρις να εχω δοκιμασει κατι. Απο τι στιγμη που κατι ειναι dstnat εχει περασει και απο input αναγκαστικα. Αλλιως δε θα περναγε καν ΝΑΤ. Δε θα δουλευε η δηλωση εκει δλδ. Σαφως και μπορει να εχω λαθος βεβαια. Ενα σκεπτικο λεω.

Απο τη μικροτικ παντως βλεπω οτι τη δηλωση αυτη που εδωσα, σαν forward την δινουν.

το νατ είναι ακόμα πιο πίσω
στη prerouting chain

**puntomania** · 24-04-17, 22:44

Δεν το λυσατε το Κυπριακό ακόμα!!!

**macro** · 25-04-17, 10:26

Αρχικό μήνυμα από teodor_ch

το νατ είναι ακόμα πιο πίσω
στη prerouting chain

Ακριβως αυτο εννοω.

**deniSun** · 25-04-17, 13:38

Αρχικό μήνυμα από puntomania

Δεν το λυσατε το Κυπριακό ακόμα!!!

Διακυβεύονται πολλά συμφέροντα...

**Cuore Sportivo** · 30-04-17, 18:25

Καλησπέρα,
Οι προτεινόμενοι κανόνες (με τις απαραίτητες μικροαλλαγές για τον καθένα) συνεχίζουν να είναι αυτοί του post #117, σωστά;

**macro** · 30-04-17, 19:47

Ναι εκτος απο το "allow broadcast multicast", αυτο μη το βαλεις.

Θέμα: Mikrotik IPv4/IPv6 firewall

Παρόμοια Θέματα

Mikrotik IPv6 σε PPPoE client με modem σε bridge mode

Έναρξη πιλοτικής λειτουργίας IPv4/IPv6 dual stack από τον ΟΤΕ

Mikrotik 2011 DHCP lease failed without success Point to Multipoint

IPV6 + IPV4 SPEED TEST

Tags για αυτό το Θέμα

Bookmarks

Bookmarks

Δικαιώματα - Επιλογές