Elektroda.pl
Elektroda.pl
X

Search our partners

Find the latest content on electronic components. Datasheets.com
Elektroda.pl
OptexOptex
Please add exception to AdBlock for elektroda.pl.
If you watch the ads, you support portal and users.

Mikrotik RouterBOARD RB951G 2H - Kilka pytań świeżo po konfiguracji Mikrotika

30 Jan 2017 20:34 966 3
  • Level 16  
    Witam.

    Po konfiguracji pierwszego w życiu Mikrotika mam kilka pytań i proszę o pomoc :)

    Pierwsze pytanie to czy dobrze zabezpieczyłem firewalla:

    Code:
    /ip firewall filter
    
    add action=drop chain=forward comment="Blokuj komunikacj\EA z LAN na WIFI" \
    disabled=yes in-interface=ether2-WIFI out-interface=bridge
    add action=drop chain=forward comment="Blokuj komunikacj\EA z WIFI na LAN" \
    disabled=yes in-interface=bridge out-interface=ether2-WIFI
    add chain=input comment="akceptuj HTTP" dst-port=80 protocol=tcp
    add chain=input comment="akceptuj ICMP" protocol=icmp
    add chain=input comment="akceptuj SSH" disabled=yes dst-port=22 protocol=tcp
    add chain=input comment="akceptuj TELNET" disabled=yes dst-port=23 protocol=tcp
    add chain=input comment=" akceptuj WinBox" dst-port=8291 protocol=tcp
    add chain=input comment=" akceptuj zapytania DNS (UDP)" dst-port=53 \
    in-interface=bridge protocol=udp
    add chain=input comment=" akceptuj zapytania DNS (TCP)" dst-port=53 \
    in-interface=bridge protocol=tcp
    add chain=input comment=" akceptuj polaczenia zestawione" connection-state=\
    established
    add chain=input comment=" akceptuj polaczenia powiazane" connection-state=\
    related
    add action=drop chain=input comment=" blokuj wszystko inne" \
    connection-nat-state=srcnat,dstnat log=yes log-prefix=\
    "blokuj wszystko inne"
    add action=drop chain=input dst-port=0-65535 protocol=tcp
    /ip firewall mangle
    add action=mark-connection chain=forward new-connection-mark=users-con \
    src-address=192.168.1.0/24
    add action=mark-packet chain=forward connection-mark=users-con new-packet-mark=\
    users
    add action=mark-connection chain=forward new-connection-mark=users-con \
    src-address=192.168.55.0/24
    add action=mark-packet chain=forward connection-mark=users-con new-packet-mark=\
    users
    /ip firewall nat
    add action=masquerade chain=srcnat comment="Translacja adres\F3w" \
    out-interface=ether1-WAN
    add action=dst-nat chain=dstnat comment=\
    "Dost\EAp z zewn\B9trz dla NAS - g\B3\F3wny serwer plik\F3w" dst-port=1000 \
    protocol=tcp to-addresses=192.168.1.20 to-ports=80
    add action=dst-nat chain=dstnat comment=\
    "Dost\EAp z zewn\B9trz dla NAS - pomocniczy serwer plik\F3w" dst-port=1001 \
    protocol=tcp to-addresses=192.168.1.21 to-ports=80
    add action=dst-nat chain=dstnat comment=\
    "Dost\EAp z zewn\B9trz dla komputer serwis HP" dst-port=3333 protocol=tcp \
    to-addresses=192.168.1.100 to-ports=3389
    add action=dst-nat chain=dstnat comment="Dost\EAp z zewn\B9trz dla serwer SQL" \
    dst-port=222 protocol=tcp to-addresses=192.168.1.99 to-ports=22
    add action=dst-nat chain=dstnat comment=\
    "Dost\EAp z zewn\B9trz dla rejestratora CCTV" disabled=yes dst-port=80 \
    protocol=tcp to-addresses=192.168.1.10 to-ports=80
    add action=dst-nat chain=dstnat comment=\
    "Dost\EAp z zewn\B9trz dla rejestratora CCTV" dst-port=2000-2007 protocol=\
    tcp to-addresses=192.168.1.100 to-ports=2000-2007
    add action=dst-nat chain=dstnat comment=\
    "Dost\EAp z zewn\B9trz dla rejestratora CCTV" dst-port=50100 protocol=tcp \
    to-addresses=192.168.1.10 to-ports=50100
    add action=dst-nat chain=dstnat comment="OpenDNS redirect" dst-port=53 \
    protocol=udp to-addresses=208.67.222.222 to-ports=53
    add action=dst-nat chain=dstnat comment="OpenDNS redirect" dst-port=53 \
    protocol=tcp to-addresses=208.67.222.222 to-ports=53
    add action=dst-nat chain=dstnat comment="Serwer FTP " dst-port=21 log=yes \
    protocol=tcp to-addresses=192.168.1.20 to-ports=21
    [admin@MikroTik] /ip firewall>


    Czy powinienem jeszcze coś dopisać?

    Drugie pytanie dotyczy pierwszych dwóch wpisów z firewalla - na sprzętowym porcie 2 mam podłączone wifi ana portach 3-5 bridge lan. Chcę odseparować interfejs bridge od wifi tak aby wifi miało tylko dostęp do internetu i do niczego więcej. Niestety mimo prób (pierwsze dwie pozycje firewall) nie udało mi się samemu nic wymyślić.

    Trzeci problem jest taki, że muszę wystawić rejestrator CCTV na zewnątrz. Kiedy zrobiłem przekierowanie port 80 na wew adres rejestratora wszystkie komputery w sieci straciły port 80 - nie można było przeglądać www - wszystko inne działało. Niestety nie mogę zrozumieć dlaczego tak się dzieje i co trzeba zrobić aby przekierować port 80 na rejestrator bez zakłócania ruchu na innych komputerach.

    Bardzo proszę o pomoc.
  • OptexOptex
  • Level 43  
    mysiak wrote:
    Kiedy zrobiłem przekierowanie port 80 na wew adres rejestratora wszystkie komputery w sieci straciły port 80 - nie można było przeglądać www - wszystko inne działało


    Nie zrobiłeś w regule kwalifikatora dla połączeń z zewnątrz
    np in-interface = cos tam lub dst-address = coś tam

    Dodano po 1 [minuty]:

    Trudno ocenić konfigurację z pliku export, bez dostępu wizualnego do winboxa,
    Zresztą nie wygląda do na kompletny export całej konfiguracji.
  • OptexOptex
  • Level 16  
    Oto cała konfiguracja bez DHCP - adres publiczny zastąpiłem x.x.x.x

    Code:


    #
    /interface bridge
    add name=bridge
    /interface ethernet
    set [ find default-name=ether1 ] name=ether1-WAN
    set [ find default-name=ether2 ] name=ether2-WIFI
    /ip pool
    add name=dhcp_pool1 ranges=192.168.1.100-192.168.1.200
    add name=pool2 ranges=192.168.55.100,192.168.55.150
    /ip dhcp-server
    add add-arp=yes address-pool=dhcp_pool1 always-broadcast=yes bootp-lease-time=\
    lease-time bootp-support=dynamic disabled=no interface=bridge name=dhcp1
    add address-pool=pool2 disabled=no interface=ether2-WIFI name=dhcp-WIFI
    /queue type
    add kind=pcq name=pcq-download pcq-classifier=dst-address
    add kind=pcq name=pcq-upload pcq-classifier=src-address
    /queue tree
    add max-limit=8500k name=Download parent=bridge queue=default
    add name=queue1 packet-mark=users parent=Download queue=pcq-download
    add max-limit=840k name=Upload parent=ether1-WAN queue=pcq-upload
    add name=queue2 packet-mark=users parent=Upload queue=pcq-upload
    add disabled=yes name=queue3 packet-mark=users parent=bridge queue=pcq-download
    add disabled=yes name=queue4 packet-mark=users parent=ether1-WAN queue=\
    pcq-upload
    add max-limit=1M name=Download-WIFI parent=ether2-WIFI queue=pcq-download
    add name=queue5 packet-mark=users parent=Download-WIFI queue=pcq-download
    add disabled=yes max-limit=384k name=Upload-WIFI parent=ether1-WAN queue=\
    pcq-upload
    add disabled=yes name=queue6 packet-mark=users parent=Upload-WIFI queue=\
    pcq-upload
    /interface bridge port
    add bridge=bridge interface=ether3
    add bridge=bridge interface=ether4
    add bridge=bridge interface=ether5
    /ip address
    add address=192.168.1.1/24 interface=bridge network=192.168.1.0
    add address=192.168.55.254/24 interface=ether2-WIFI network=192.168.55.0
    add address=x.x.x.x/29 interface=ether1-WAN network=x.x.x.x
    /ip dhcp-server lease



    /ip firewall filter
    add action=drop chain=input comment="Blokuj komunikacj\EA z LAN na WIFI" \
    dst-address=192.168.55.0/24 src-address=192.168.1.0/24
    add action=drop chain=output comment="Blokuj komunikacj\EA z WIFI na LAN" \
    dst-address=192.168.55.0/24 src-address=192.168.1.0/24
    add chain=input comment="akceptuj HTTP" dst-port=80 protocol=tcp
    add chain=input comment="akceptuj ICMP" protocol=icmp
    add chain=input comment="akceptuj SSH" disabled=yes dst-port=22 protocol=tcp
    add chain=input comment="akceptuj TELNET" disabled=yes dst-port=23 protocol=tcp
    add chain=input comment=" akceptuj WinBox" dst-port=8291 protocol=tcp
    add chain=input comment=" akceptuj zapytania DNS (UDP)" dst-port=53 \
    in-interface=bridge protocol=udp
    add chain=input comment=" akceptuj zapytania DNS (TCP)" dst-port=53 \
    in-interface=bridge protocol=tcp
    add chain=input comment=" akceptuj polaczenia zestawione" connection-state=\
    established
    add chain=input comment=" akceptuj polaczenia powiazane" connection-state=\
    related
    add action=drop chain=input comment=" blokuj wszystko inne" \
    connection-nat-state=srcnat,dstnat log=yes log-prefix=\
    "blokuj wszystko inne"
    add action=drop chain=input dst-port=0-65535 protocol=tcp
    /ip firewall mangle
    add action=mark-connection chain=forward new-connection-mark=users-con \
    src-address=192.168.1.0/24
    add action=mark-packet chain=forward connection-mark=users-con new-packet-mark=\
    users
    add action=mark-connection chain=forward new-connection-mark=users-con \
    src-address=192.168.55.0/24
    add action=mark-packet chain=forward connection-mark=users-con new-packet-mark=\
    users
    /ip firewall nat
    add action=masquerade chain=srcnat comment="Translacja adres\F3w" \
    out-interface=ether1-WAN
    add action=dst-nat chain=dstnat comment=\
    "Dost\EAp z zewn\B9trz dla NAS - g\B3\F3wny serwer plik\F3w" dst-address=\
    x.x.x.x dst-port=1000 protocol=tcp to-addresses=192.168.1.20 to-ports=80
    add action=dst-nat chain=dstnat comment=\
    "Dost\EAp z zewn\B9trz dla NAS - pomocniczy serwer plik\F3w" dst-address=\
    x.x.x.x dst-port=1001 protocol=tcp to-addresses=192.168.1.21 to-ports=80
    add action=dst-nat chain=dstnat comment=\
    "Dost\EAp z zewn\B9trz dla komputer serwis HP" dst-address=x.x.x.x \
    dst-port=3389 protocol=tcp to-addresses=192.168.1.100 to-ports=3389
    add action=dst-nat chain=dstnat comment="Dost\EAp z zewn\B9trz dla serwer SQL" \
    dst-address=x.x.x.x dst-port=222 protocol=tcp to-addresses=192.168.1.99 \
    to-ports=22
    add action=dst-nat chain=dstnat comment=\
    "Dost\EAp z zewn\B9trz dla rejestratora CCTV" dst-address=x.x.x.x \
    dst-port=80 protocol=tcp to-addresses=192.168.1.10 to-ports=80
    add action=dst-nat chain=dstnat comment=\
    "Dost\EAp z zewn\B9trz dla rejestratora CCTV" dst-address=x.x.x.x \
    dst-port=2000-2007 protocol=tcp to-addresses=192.168.1.100 to-ports=\
    2000-2007
    add action=dst-nat chain=dstnat comment=\
    "Dost\EAp z zewn\B9trz dla rejestratora CCTV" dst-address=x.x.x.x \
    dst-port=50100 protocol=tcp to-addresses=192.168.1.10 to-ports=50100
    add action=dst-nat chain=dstnat comment="OpenDNS redirect" dst-port=53 \
    protocol=udp to-addresses=208.67.222.222 to-ports=53
    add action=dst-nat chain=dstnat comment="OpenDNS redirect" dst-port=53 \
    protocol=tcp to-addresses=208.67.222.222 to-ports=53
    add action=dst-nat chain=dstnat comment="Serwer FTP" dst-address=\
    x.x.x.x dst-port=21 log=yes protocol=tcp to-addresses=192.168.1.20 \
    to-ports=21
    /ip route
    add distance=1 gateway=x.x.x.x
    /ip service
    set ftp disabled=yes
    set www port=8080
    /snmp
    set enabled=yes
    /system clock
    set time-zone-name=Europe/Warsaw
    /system leds
    set 0 interface=wlan1
    /system routerboard settings
    set protected-routerboot=disabled
    /system scheduler
    add comment="Restart co 24 godziny" interval=1d name=schedule1 on-event=\
    "/system reboot" policy=\
    ftp,reboot,read,write,policy,test,password,sniff,sensitive start-date=\
    jan/23/2017 start-time=05:55:00
    /system watchdog
    set automatic-supout=no watchdog-timer=no
    [admin@MikroTik] >


    A tutaj screen firewalla:

    Mikrotik RouterBOARD RB951G 2H - Kilka pytań świeżo po konfiguracji Mikrotika

    Przekierowania już są ok - dodałem adres WAN do dst. adress i jest ok :)
  • Level 43  
    Jak z samego exportu nie ogarniam tego, jestem wzrokowcem, muszę mieć dostęp do winbox-a aby zorientować się co jest ustawione. Export jest pomocny, ale nie wystarczający dle mnie.

    Może inni forumowicze potrafią w swoich głowach ogarnąć poprawność konfiguracji tylko na podstawie exportu.