Уважаемые участники форума, помогите новичку, буду очень признателен.
Проблема такая: есть два офиса соединённые vpn туннелем. Локальная сеть 1-го офиса 192.168.229.0/24 2-го офиса 192.168.217.0/24. Необходимо разрешить на микротике 1-го офиса подключаться по rdp к второму офису и запретить из второго подключаться по рдп к первому. Помимо rdp это надо сделать ещё с десятком портов, но я привел только рдп для примера. Остальное все запретить, как я понял сделать нижнем правилом дроп для цепочки форвард.
Прошу помощи в настройке файрвола
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
-
podarok66
- Модератор
- Сообщения: 4402
- Зарегистрирован: 11 фев 2012, 18:49
- Откуда: МО
viewtopic.php?f=15&t=6572&start=40
Лучший из виденных мною мануалов по изоляции подсетей от vqd. Читайте, делайте под себя, наслаждайтесь...
Лучший из виденных мною мануалов по изоляции подсетей от vqd. Читайте, делайте под себя, наслаждайтесь...
Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
-
Gror
- Сообщения: 15
- Зарегистрирован: 20 окт 2017, 16:16
Благодарю. Нашел Ваш ЖЖ - тоже очень информативноpodarok66 писал(а): ↑04 окт 2019, 20:58 viewtopic.php?f=15&t=6572&start=40
Лучший из виденных мною мануалов по изоляции подсетей от vqd. Читайте, делайте под себя, наслаждайтесь...
.. если возможно, конечно, хотелось набросок правил от Вас .. на теме файрволла туплю, как последний олень 
-
podarok66
- Модератор
- Сообщения: 4402
- Зарегистрирован: 11 фев 2012, 18:49
- Откуда: МО
Нет. Однозначно и бесповоротно нет. Правила - это совокупность необходимостей сети, желаний и заскоков админа. Это нечто индивидуально вынашиваемое. Вон Дракон у нас параноик (в хорошем смысле слова), я напротив, разгильдяй. И фаерволы у нас очень разные. Даже в мелочах. Читайте, пробуйте, экспериментируйте. В итоге вы или забросите это дело, или выпестуете то, что будет отвечать именно вашим взглядам на сетевую безопасность. А копипаст вам ничего, кроме лишних трудностей не даст.
Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
-
Gror
- Сообщения: 15
- Зарегистрирован: 20 окт 2017, 16:16
Уважаемый podarok66 почитал Ваше жж и очень прошу дать совет опять же по фаерволу.
Вы пишите, цитирую:
"Для нормального понимания проще всего попробовать прочитать правила на человеческом языке:
" Добавляем в правила фаервола разрешение на прохождение через роутер для пакетов с источника адресов 192.168.0.0/24 с портов источника 80 и 443 по протоколу tcp"
" Добавляем в правила фаервола разрешение на прохождение через роутер для пакетов с назначением в адреса 192.168.0.0/24 и в порты назначения 80 и 443 по протоколу tcp""
Во втором правиле, если трафик возвращается не по портам указанным в правиле, здесь соответственно 80 и 443, а по произвольным портам, как в таком случае написать правило?
Вы пишите, цитирую:
"Для нормального понимания проще всего попробовать прочитать правила на человеческом языке:
" Добавляем в правила фаервола разрешение на прохождение через роутер для пакетов с источника адресов 192.168.0.0/24 с портов источника 80 и 443 по протоколу tcp"
" Добавляем в правила фаервола разрешение на прохождение через роутер для пакетов с назначением в адреса 192.168.0.0/24 и в порты назначения 80 и 443 по протоколу tcp""
Во втором правиле, если трафик возвращается не по портам указанным в правиле, здесь соответственно 80 и 443, а по произвольным портам, как в таком случае написать правило?
-
xvo
- Сообщения: 4230
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
А зачем вам вообще как-то отдельно разрешать обратный трафик?Gror писал(а): ↑12 ноя 2019, 13:29 Уважаемый podarok66 почитал Ваше жж и очень прошу дать совет опять же по фаерволу.
Вы пишите, цитирую:
"Для нормального понимания проще всего попробовать прочитать правила на человеческом языке:
" Добавляем в правила фаервола разрешение на прохождение через роутер для пакетов с источника адресов 192.168.0.0/24 с портов источника 80 и 443 по протоколу tcp"
" Добавляем в правила фаервола разрешение на прохождение через роутер для пакетов с назначением в адреса 192.168.0.0/24 и в порты назначения 80 и 443 по протоколу tcp""
Во втором правиле, если трафик возвращается не по портам указанным в правиле, здесь соответственно 80 и 443, а по произвольным портам, как в таком случае написать правило?
Стандартная практика - прогонять через firewall только первый пакет для каждого соединения, а остальные (как в обратную сторону, так и в ту же, что и первый пакет) разрешать самым первым правилом с условием connection-state=established,related.
Telegram: @thexvo
-
Gror
- Сообщения: 15
- Зарегистрирован: 20 окт 2017, 16:16
Спасибо. Дело в том, что правило, вроде как работало по такому принципу, потом почему-то перестало. Пришлось лезть в коннектшенс смотреть что с чем конектится при отключенном нижнем правиле - дропать все.
Для каждого правила создавать connection-state=established,related? Или достаточно одного верхнего?
Для каждого правила создавать connection-state=established,related? Или достаточно одного верхнего?
-
xvo
- Сообщения: 4230
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
Одно для цепочки forward, одно для input.Gror писал(а): ↑12 ноя 2019, 15:59 Спасибо. Дело в том, что правило, вроде как работало по такому принципу, потом почему-то перестало. Пришлось лезть в коннектшенс смотреть что с чем конектится при отключенном нижнем правиле - дропать все.
Для каждого правила создавать connection-state=established,related? Или достаточно одного верхнего?
Telegram: @thexvo