logo elektroda
logo elektroda
X
logo elektroda
Szukanie Zaawansowane
logo elektroda
REKLAMA
REKLAMA
Adblock/uBlockOrigin/AdGuard mogą powodować znikanie niektórych postów z powodu nowej reguły.

Mikrotik RouterBOARD RB951G 2H - Kilka pytań świeżo po konfiguracji Mikrotika

mysiak 30 Sty 2017 20:34 1419 3
REKLAMA
Zgłoś naruszenie prawa
Odpowiedz | Nowy temat
  • #1 16240743
    mysiak
    Poziom 16  
    Posty: 351
    Pomógł: 3
    Ocena: 8
    Witam.

    Po konfiguracji pierwszego w życiu Mikrotika mam kilka pytań i proszę o pomoc :)

    Pierwsze pytanie to czy dobrze zabezpieczyłem firewalla:

    Kod: text Rozwiń Zaznacz wszystko Kopiuj do schowka
    /ip firewall filter
add action=drop chain=forward comment="Blokuj komunikacj\EA z LAN na WIFI" \
disabled=yes in-interface=ether2-WIFI out-interface=bridge
add action=drop chain=forward comment="Blokuj komunikacj\EA z WIFI na LAN" \
disabled=yes in-interface=bridge out-interface=ether2-WIFI
add chain=input comment="akceptuj HTTP" dst-port=80 protocol=tcp
add chain=input comment="akceptuj ICMP" protocol=icmp
add chain=input comment="akceptuj SSH" disabled=yes dst-port=22 protocol=tcp
add chain=input comment="akceptuj TELNET" disabled=yes dst-port=23 protocol=tcp
add chain=input comment=" akceptuj WinBox" dst-port=8291 protocol=tcp
add chain=input comment=" akceptuj zapytania DNS (UDP)" dst-port=53 \
in-interface=bridge protocol=udp
add chain=input comment=" akceptuj zapytania DNS (TCP)" dst-port=53 \
in-interface=bridge protocol=tcp
add chain=input comment=" akceptuj polaczenia zestawione" connection-state=\
established
add chain=input comment=" akceptuj polaczenia powiazane" connection-state=\
related
add action=drop chain=input comment=" blokuj wszystko inne" \
connection-nat-state=srcnat,dstnat log=yes log-prefix=\
"blokuj wszystko inne"
add action=drop chain=input dst-port=0-65535 protocol=tcp
/ip firewall mangle
add action=mark-connection chain=forward new-connection-mark=users-con \
src-address=192.168.1.0/24
add action=mark-packet chain=forward connection-mark=users-con new-packet-mark=\
users
add action=mark-connection chain=forward new-connection-mark=users-con \
src-address=192.168.55.0/24
add action=mark-packet chain=forward connection-mark=users-con new-packet-mark=\
users
/ip firewall nat
add action=masquerade chain=srcnat comment="Translacja adres\F3w" \
out-interface=ether1-WAN
add action=dst-nat chain=dstnat comment=\
"Dost\EAp z zewn\B9trz dla NAS - g\B3\F3wny serwer plik\F3w" dst-port=1000 \
protocol=tcp to-addresses=192.168.1.20 to-ports=80
add action=dst-nat chain=dstnat comment=\
"Dost\EAp z zewn\B9trz dla NAS - pomocniczy serwer plik\F3w" dst-port=1001 \
protocol=tcp to-addresses=192.168.1.21 to-ports=80
add action=dst-nat chain=dstnat comment=\
"Dost\EAp z zewn\B9trz dla komputer serwis HP" dst-port=3333 protocol=tcp \
to-addresses=192.168.1.100 to-ports=3389
add action=dst-nat chain=dstnat comment="Dost\EAp z zewn\B9trz dla serwer SQL" \
dst-port=222 protocol=tcp to-addresses=192.168.1.99 to-ports=22
add action=dst-nat chain=dstnat comment=\
"Dost\EAp z zewn\B9trz dla rejestratora CCTV" disabled=yes dst-port=80 \
protocol=tcp to-addresses=192.168.1.10 to-ports=80
add action=dst-nat chain=dstnat comment=\
"Dost\EAp z zewn\B9trz dla rejestratora CCTV" dst-port=2000-2007 protocol=\
tcp to-addresses=192.168.1.100 to-ports=2000-2007
add action=dst-nat chain=dstnat comment=\
"Dost\EAp z zewn\B9trz dla rejestratora CCTV" dst-port=50100 protocol=tcp \
to-addresses=192.168.1.10 to-ports=50100
add action=dst-nat chain=dstnat comment="OpenDNS redirect" dst-port=53 \
protocol=udp to-addresses=208.67.222.222 to-ports=53
add action=dst-nat chain=dstnat comment="OpenDNS redirect" dst-port=53 \
protocol=tcp to-addresses=208.67.222.222 to-ports=53
add action=dst-nat chain=dstnat comment="Serwer FTP " dst-port=21 log=yes \
protocol=tcp to-addresses=192.168.1.20 to-ports=21
[admin@MikroTik] /ip firewall> 


    Czy powinienem jeszcze coś dopisać?

    Drugie pytanie dotyczy pierwszych dwóch wpisów z firewalla - na sprzętowym porcie 2 mam podłączone wifi ana portach 3-5 bridge lan. Chcę odseparować interfejs bridge od wifi tak aby wifi miało tylko dostęp do internetu i do niczego więcej. Niestety mimo prób (pierwsze dwie pozycje firewall) nie udało mi się samemu nic wymyślić.

    Trzeci problem jest taki, że muszę wystawić rejestrator CCTV na zewnątrz. Kiedy zrobiłem przekierowanie port 80 na wew adres rejestratora wszystkie komputery w sieci straciły port 80 - nie można było przeglądać www - wszystko inne działało. Niestety nie mogę zrozumieć dlaczego tak się dzieje i co trzeba zrobić aby przekierować port 80 na rejestrator bez zakłócania ruchu na innych komputerach.

    Bardzo proszę o pomoc.
  • REKLAMA
  • #2 16240786
    bogiebog
    Poziom 43  
    Posty: 24793
    Pomógł: 2569
    Ocena: 1528
    mysiak napisał:
    Kiedy zrobiłem przekierowanie port 80 na wew adres rejestratora wszystkie komputery w sieci straciły port 80 - nie można było przeglądać www - wszystko inne działało


    Nie zrobiłeś w regule kwalifikatora dla połączeń z zewnątrz
    np in-interface = cos tam lub dst-address = coś tam

    Dodano po 1 [minuty]:

    Trudno ocenić konfigurację z pliku export, bez dostępu wizualnego do winboxa,
    Zresztą nie wygląda do na kompletny export całej konfiguracji.
  • REKLAMA
  • #3 16241390
    mysiak
    Poziom 16  
    Posty: 351
    Pomógł: 3
    Ocena: 8
    Oto cała konfiguracja bez DHCP - adres publiczny zastąpiłem x.x.x.x

    Kod: text Rozwiń Zaznacz wszystko Kopiuj do schowka
    

#
/interface bridge
add name=bridge
/interface ethernet
set [ find default-name=ether1 ] name=ether1-WAN
set [ find default-name=ether2 ] name=ether2-WIFI
/ip pool
add name=dhcp_pool1 ranges=192.168.1.100-192.168.1.200
add name=pool2 ranges=192.168.55.100,192.168.55.150
/ip dhcp-server
add add-arp=yes address-pool=dhcp_pool1 always-broadcast=yes bootp-lease-time=\
lease-time bootp-support=dynamic disabled=no interface=bridge name=dhcp1
add address-pool=pool2 disabled=no interface=ether2-WIFI name=dhcp-WIFI
/queue type
add kind=pcq name=pcq-download pcq-classifier=dst-address
add kind=pcq name=pcq-upload pcq-classifier=src-address
/queue tree
add max-limit=8500k name=Download parent=bridge queue=default
add name=queue1 packet-mark=users parent=Download queue=pcq-download
add max-limit=840k name=Upload parent=ether1-WAN queue=pcq-upload
add name=queue2 packet-mark=users parent=Upload queue=pcq-upload
add disabled=yes name=queue3 packet-mark=users parent=bridge queue=pcq-download
add disabled=yes name=queue4 packet-mark=users parent=ether1-WAN queue=\
pcq-upload
add max-limit=1M name=Download-WIFI parent=ether2-WIFI queue=pcq-download
add name=queue5 packet-mark=users parent=Download-WIFI queue=pcq-download
add disabled=yes max-limit=384k name=Upload-WIFI parent=ether1-WAN queue=\
pcq-upload
add disabled=yes name=queue6 packet-mark=users parent=Upload-WIFI queue=\
pcq-upload
/interface bridge port
add bridge=bridge interface=ether3
add bridge=bridge interface=ether4
add bridge=bridge interface=ether5
/ip address
add address=192.168.1.1/24 interface=bridge network=192.168.1.0
add address=192.168.55.254/24 interface=ether2-WIFI network=192.168.55.0
add address=x.x.x.x/29 interface=ether1-WAN network=x.x.x.x
/ip dhcp-server lease



/ip firewall filter
add action=drop chain=input comment="Blokuj komunikacj\EA z LAN na WIFI" \
dst-address=192.168.55.0/24 src-address=192.168.1.0/24
add action=drop chain=output comment="Blokuj komunikacj\EA z WIFI na LAN" \
dst-address=192.168.55.0/24 src-address=192.168.1.0/24
add chain=input comment="akceptuj HTTP" dst-port=80 protocol=tcp
add chain=input comment="akceptuj ICMP" protocol=icmp
add chain=input comment="akceptuj SSH" disabled=yes dst-port=22 protocol=tcp
add chain=input comment="akceptuj TELNET" disabled=yes dst-port=23 protocol=tcp
add chain=input comment=" akceptuj WinBox" dst-port=8291 protocol=tcp
add chain=input comment=" akceptuj zapytania DNS (UDP)" dst-port=53 \
in-interface=bridge protocol=udp
add chain=input comment=" akceptuj zapytania DNS (TCP)" dst-port=53 \
in-interface=bridge protocol=tcp
add chain=input comment=" akceptuj polaczenia zestawione" connection-state=\
established
add chain=input comment=" akceptuj polaczenia powiazane" connection-state=\
related
add action=drop chain=input comment=" blokuj wszystko inne" \
connection-nat-state=srcnat,dstnat log=yes log-prefix=\
"blokuj wszystko inne"
add action=drop chain=input dst-port=0-65535 protocol=tcp
/ip firewall mangle
add action=mark-connection chain=forward new-connection-mark=users-con \
src-address=192.168.1.0/24
add action=mark-packet chain=forward connection-mark=users-con new-packet-mark=\
users
add action=mark-connection chain=forward new-connection-mark=users-con \
src-address=192.168.55.0/24
add action=mark-packet chain=forward connection-mark=users-con new-packet-mark=\
users
/ip firewall nat
add action=masquerade chain=srcnat comment="Translacja adres\F3w" \
out-interface=ether1-WAN
add action=dst-nat chain=dstnat comment=\
"Dost\EAp z zewn\B9trz dla NAS - g\B3\F3wny serwer plik\F3w" dst-address=\
x.x.x.x dst-port=1000 protocol=tcp to-addresses=192.168.1.20 to-ports=80
add action=dst-nat chain=dstnat comment=\
"Dost\EAp z zewn\B9trz dla NAS - pomocniczy serwer plik\F3w" dst-address=\
x.x.x.x dst-port=1001 protocol=tcp to-addresses=192.168.1.21 to-ports=80
add action=dst-nat chain=dstnat comment=\
"Dost\EAp z zewn\B9trz dla komputer serwis HP" dst-address=x.x.x.x \
dst-port=3389 protocol=tcp to-addresses=192.168.1.100 to-ports=3389
add action=dst-nat chain=dstnat comment="Dost\EAp z zewn\B9trz dla serwer SQL" \
dst-address=x.x.x.x dst-port=222 protocol=tcp to-addresses=192.168.1.99 \
to-ports=22
add action=dst-nat chain=dstnat comment=\
"Dost\EAp z zewn\B9trz dla rejestratora CCTV" dst-address=x.x.x.x \
dst-port=80 protocol=tcp to-addresses=192.168.1.10 to-ports=80
add action=dst-nat chain=dstnat comment=\
"Dost\EAp z zewn\B9trz dla rejestratora CCTV" dst-address=x.x.x.x \
dst-port=2000-2007 protocol=tcp to-addresses=192.168.1.100 to-ports=\
2000-2007
add action=dst-nat chain=dstnat comment=\
"Dost\EAp z zewn\B9trz dla rejestratora CCTV" dst-address=x.x.x.x \
dst-port=50100 protocol=tcp to-addresses=192.168.1.10 to-ports=50100
add action=dst-nat chain=dstnat comment="OpenDNS redirect" dst-port=53 \
protocol=udp to-addresses=208.67.222.222 to-ports=53
add action=dst-nat chain=dstnat comment="OpenDNS redirect" dst-port=53 \
protocol=tcp to-addresses=208.67.222.222 to-ports=53
add action=dst-nat chain=dstnat comment="Serwer FTP" dst-address=\
x.x.x.x dst-port=21 log=yes protocol=tcp to-addresses=192.168.1.20 \
to-ports=21
/ip route
add distance=1 gateway=x.x.x.x
/ip service
set ftp disabled=yes
set www port=8080
/snmp
set enabled=yes
/system clock
set time-zone-name=Europe/Warsaw
/system leds
set 0 interface=wlan1
/system routerboard settings
set protected-routerboot=disabled
/system scheduler
add comment="Restart co 24 godziny" interval=1d name=schedule1 on-event=\
"/system reboot" policy=\
ftp,reboot,read,write,policy,test,password,sniff,sensitive start-date=\
jan/23/2017 start-time=05:55:00
/system watchdog
set automatic-supout=no watchdog-timer=no
[admin@MikroTik] > 


    A tutaj screen firewalla:

    Mikrotik RouterBOARD RB951G 2H - Kilka pytań świeżo po konfiguracji Mikrotika

    Przekierowania już są ok - dodałem adres WAN do dst. adress i jest ok :)
  • #4 16241827
    bogiebog
    Poziom 43  
    Posty: 24793
    Pomógł: 2569
    Ocena: 1528
    Jak z samego exportu nie ogarniam tego, jestem wzrokowcem, muszę mieć dostęp do winbox-a aby zorientować się co jest ustawione. Export jest pomocny, ale nie wystarczający dle mnie.

    Może inni forumowicze potrafią w swoich głowach ogarnąć poprawność konfiguracji tylko na podstawie exportu.
Odpowiedz | Nowy temat
Zgłoś naruszenie prawa
REKLAMA