Не срабатывает INPUT правило в фаерволе

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Ответить
kif
Сообщения: 5
Зарегистрирован: 16 авг 2020, 12:10

Здрасьте :-):
Не могу понять почему не срабатывает вот это правило в фаерволе

Код: Выделить всё

add action=add-src-to-address-list address-list="Honeypot Hacker" \
    address-list-timeout=14w2d chain=input comment="block honeypot ssh rdp" \
    connection-state=new dst-port=22,3389,5060,4050 in-interface=ether1 \
    protocol=tcp src-address=!10.0.0.0/24
Вернее оно работает но не на порт 4050, который у меня в нате прописан (переброс с внешнийip:4050 на локальный:3389)
Попробовал ради теста продублировать первое правило изменив цепочку на FORWARD, и оно начало работать.
Тоесть мне нужно и input и forward деражать правила, или я делаю что-то не так? :ne_vi_del:
И почему в моем случае 4050 порт проходит мимо INPUT правила, нипанятнааа
Последний раз редактировалось kif 16 авг 2020, 13:07, всего редактировалось 1 раз.


Вернуться к началу
xvo
Сообщения: 4230
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Цепочка dstnat обрабатывается до цепочек input и forward firewall'а.
Так что одним правилом закрыть и то, что идет на маршрутизатор, и то, что идет через него, не получится.
Если же вы этим правилом хотите ловить только то, что проходит через маршрутизатор после dstnat - достаточно оставить в цепочке forward.


Telegram: @thexvo
Вернуться к началу
kif
Сообщения: 5
Зарегистрирован: 16 авг 2020, 12:10

xvo писал(а): 16 авг 2020, 13:06 Цепочка dstnat обрабатывается до цепочек input и forward firewall'а.
Хмм, не знал (хотя в процессе разбирательства начали посещать такие мысли), тогда всё встало на свои места, спасибо :-):


Вернуться к началу
Ответить

Вернуться в «FAQ (Для начинающих)»