Russian Users MikroTik | Форум пользователей MikroTik

Форум поддержи и обмена опытом пользователей оборудования RouterBOARD и операционной системы RouterOS Латвийского производителя MikroTik
https://forummikrotik.ru/

Ещё раз про порядок правил Firewall Filter

https://forummikrotik.ru/viewtopic.php?t=5895

Страница 2 из 2

Re: Ещё раз про порядок правил Firewall Filter

Добавлено: 09 мар 2020, 14:04
podarok66
Вы сами себе противоречите. Здесь какая цепочка?
EIKA писал(а): 09 мар 2020, 01:06 allow TCP:21 input (вход на FTP-сервер)
А здесь вы сами сказали, что forward?
EIKA писал(а): 09 мар 2020, 01:06drop HACKERS
Вы уж решите окончательно, где у вас что расположено, а потом и правила соответственно размещайте...

Re: Ещё раз про порядок правил Firewall Filter

Добавлено: 12 мар 2020, 21:14
EIKA
Дал некорректные описания правил. Исправляюсь:

Код: Выделить всё

/ip firewall address-list
add address=185.10.22.0/24 list=HACKERS
add address=46.246.123.136 list=HACKERS
add address=85.172.174.151 list=HACKERS
add address=102.165.48.0/21 list=HACKERS

/ip firewall filter
add action=accept chain=input comment="Allow ESTAB: IN" connection-state=established in-interface=WAN
add action=accept chain=forward comment="Allow ESTAB: FW" connection-state=established in-interface=WAN
add action=accept chain=input comment="Allow RELATED: IN" connection-state=related in-interface=WAN
add action=accept chain=forward comment="Allow RELATED: FW" connection-state=related in-interface=WAN
add action=accept chain=forward comment="Allow TCP:80: FW (Apache)" dst-address=192.168.1.201 dst-port=80 in-interface=WAN protocol=tcp
add action=accept chain=forward comment="Allow TCP:443: FW (Apache SSL)" dst-address=192.168.1.201 dst-port=443 in-interface=WAN protocol=tcp
add action=accept chain=input comment="Allow ICMP (Ping): IN" dst-address=123.123.123.123 in-interface=WAN protocol=icmp tcp-flags=""
add action=accept chain=forward comment="Allow TCP:21 (FTP Command): FW" dst-address=192.168.1.201 dst-port=21 in-interface=WAN protocol=tcp
add action=accept chain=forward comment="Allow TCP:20 (FTP Data): FW" dst-address=192.168.1.201 dst-port=20 in-interface=WAN protocol=tcp
add action=accept chain=forward comment="Allow TCP:8000-8080 (FTP Passive): FW" dst-address=192.168.1.201 dst-port=1024-1050 in-interface=WAN protocol=tcp
add action=drop chain=input comment="Drop TCP:22 (SSH): IN" dst-port=22 in-interface=WAN protocol=tcp
add action=drop chain=input comment="Drop TCP:23 (Telnet): IN" dst-port=23 in-interface=WAN protocol=tcp
add action=drop chain=input comment="Drop DNS Requests from Inet" dst-port=53 in-interface=WAN protocol=udp
add action=drop chain=input comment="Drop MikroTik bandwidth-test server" dst-port=2000 in-interface=WAN protocol=tcp
add action=drop chain=forward comment="Drop HACKERS packets: FW" in-interface=WAN src-address-list=HACKERS
add action=drop chain=input comment="Drop HACKERS packets: IN" in-interface=WAN src-address-list=HACKERS
add action=drop chain=input comment="Drop invalid packets: IN" connection-state=invalid in-interface=WAN protocol=tcp
add action=drop chain=input comment="Drop all: IN" connection-state="" in-interface=WAN
add action=drop chain=forward comment="Drop all: FW" connection-state="" in-interface=WAN
Часовой пояс: UTC+03:00
Страница 2 из 2

Создано на основе phpBB® Forum Software © phpBB Limited

Русская поддержка phpBB