Lemonez писал(а): ↑16 дек 2024, 08:28
настраивайте файрволл на самом NAS - я бы с радостью так и сделал, но я не нашел фаервола в своем NAS (D-Link DNS-320). Если бы подсказали, как его туда поставить или как по другому настроить на NAS, я был бы рад. А пока решения нет...
Простите, что не ответил вовремя.
Я видел все ваши посты, у меня просто нет времени, а вечером уже и сил.
Но вот выдалась свободная минутка.
Итак,
1. Ваш NAS воткнут в микротик! И только так, по другому не получится.
2. Порт, который использует NAS добавлен в один бридж с портом downlink (портом, который идет в коммутатор для других потребителей).
3. Порты WiFi (если они есть у вас в микротике) тоже добавлены в этот же бридж.
4. IP адреса всех участников сети сделаны "make ststic". Ну или по крайней мере самого NAS и потребителей, которые должны будут иметь доступ к NAS. И вы эти IP знаете.
5. Все настройки выполняем через WinBox. И версия ROS достаточно свежая. У меня сейчас 7.12.1. Не уверен, что все это получится на более старых версиях, да и скрины совпадать с вашими экранами не будут. Поэтому, нужно обновиться.
Обязательно нужно убедится, что на порту Ether, который смотрит в сторону вашего NAS отключен Hardware Offload. Не буду сильно вдаваться в подробности. Тут много зависит от железа и текущего конфига, но нужно обязательно убедится, что эта опция отключена.
Для этого в Bridge-Ports щелкните нужный порт дважды и снимите галочку Hardware Offload
В случае оборудования топиксартера такой галочки может и быть.
6. Далее перейдите в раздел Bridge-Bridge Filters.
Далее для понимания сути процесса, включите в отдельном окне ping до вашего NAS.
Убедитесь, что пинг идет.
Начинается самое интересное:
Нажимаете на синий плюсик в WinBox.
Выбираете chain - forward (он там уже выбран).
Разверните поле MAC Protocol. Там автоматически выберется 800 (ip). Если автоматически не выбралось, выберите вручную.
Разверните поле IP, а затем Scr. Address. Там автоматически подставится 0.0.0.0/0 (то все IP адреса v4).
А в поле Dst. address впишите IP вашего NAS. В моем случае - 192.168.89.252.
Переходите на вкладку ACTION.
И в поле Action выбираете drop.
И нажимаете ОК.
Не буду ничего здесь писать про порядок правил. Не думаю, что у вас в этом разделе были какие-то правила.
А тем временем...
Обратите внимание, что счетчик правила в фаерволле растет.
Все, доступа к NAS нету.
Проверим, с другого компьютера в сети:
Доступа тоже нет.
7. Проверим, что доступа нет и по SMB. Попробуем в проводнике Windows открыть наш NAS как сетевой ресурс.
8. Теперь нужно разрешить некоторым компьютерам доступ к NAS.
Для этого щелкните дважды созданное запрещающее правило.
В открывшемся окне нажмите кнопку Copy. Winbox создаст копию правила.
Поправим его:
В поле Scr. address напишем адрес компа, которому "можно", а на вкладке Action выберем Action - accept.
В моем случае, ip адрес, которому "можно" 192.168.89.179.
Нажимаем ОК. Потом в окне редактирования запрещающего правила нажимаем Cancel.
И видим, что создалось новое разрешающее правило, и...
... убеждаемся, что доступа-то по прежнему нет.
Помните я писал, что очень важен порядок правил в фаерволле. Подцепите разрашающее правило мышью и перетяните его выше запрещающего правила. В итоге правила должны поменяться местами. И вот результат.
Добавим еще одни компьютер, которому разрешен доступ к NAS.
Щелкните дважды разрешающее правило, нажмите Copy. Во вновь созданном правиле поменяйте поле Scr. address.
Нажмите ОК. Потом, Cancel.
Убедитесь, что новое разрешающее правило находится в списке выше запрещающего.
И вот результат:
Проверим доступ по SMB:
9. Лирическое отступление
Нужно помнить, что наше запрещение доступа ограничено IP Internet V4 протоколом. Другие протоколы будут работать. Например, Multicast. Если необходимо, его тоже нужно ограничивать отдельно. Иными словами, то, что мы делаем, - это некий костыль, который хоть и работает, но имеет некоторые ограничения.
10. Ну вот и все! В целом, этого топикстартеру будет достаточно. Ну, а все остальные, более в сведущие коллеги, возможно, еще раз убедятся в том, что Микротик можно настраивать бесконечно!
