Russian Users MikroTik | Форум пользователей MikroTik

Уважаемые участники форума, помогите новичку, буду очень признателен.
Проблема такая: есть два офиса соединённые vpn туннелем. Локальная сеть 1-го офиса 192.168.229.0/24 2-го офиса 192.168.217.0/24. Необходимо разрешить на микротике 1-го офиса подключаться по rdp к второму офису и запретить из второго подключаться по рдп к первому. Помимо rdp это надо сделать ещё с десятком портов, но я привел только рдп для примера. Остальное все запретить, как я понял сделать нижнем правилом дроп для цепочки форвард.

viewtopic.php?f=15&t=6572&start=40
Лучший из виденных мною мануалов по изоляции подсетей от vqd. Читайте, делайте под себя, наслаждайтесь...

podarok66 писал(а): ↑04 окт 2019, 20:58 viewtopic.php?f=15&t=6572&start=40
Лучший из виденных мною мануалов по изоляции подсетей от vqd. Читайте, делайте под себя, наслаждайтесь...

Благодарю. Нашел Ваш ЖЖ - тоже очень информативно .. если возможно, конечно, хотелось набросок правил от Вас .. на теме файрволла туплю, как последний олень

Нет. Однозначно и бесповоротно нет. Правила - это совокупность необходимостей сети, желаний и заскоков админа. Это нечто индивидуально вынашиваемое. Вон Дракон у нас параноик (в хорошем смысле слова), я напротив, разгильдяй. И фаерволы у нас очень разные. Даже в мелочах. Читайте, пробуйте, экспериментируйте. В итоге вы или забросите это дело, или выпестуете то, что будет отвечать именно вашим взглядам на сетевую безопасность. А копипаст вам ничего, кроме лишних трудностей не даст.

Уважаемый podarok66 почитал Ваше жж и очень прошу дать совет опять же по фаерволу.
Вы пишите, цитирую:
"Для нормального понимания проще всего попробовать прочитать правила на человеческом языке:
" Добавляем в правила фаервола разрешение на прохождение через роутер для пакетов с источника адресов 192.168.0.0/24 с портов источника 80 и 443 по протоколу tcp"
" Добавляем в правила фаервола разрешение на прохождение через роутер для пакетов с назначением в адреса 192.168.0.0/24 и в порты назначения 80 и 443 по протоколу tcp""

Во втором правиле, если трафик возвращается не по портам указанным в правиле, здесь соответственно 80 и 443, а по произвольным портам, как в таком случае написать правило?

Gror писал(а): ↑12 ноя 2019, 13:29 Уважаемый podarok66 почитал Ваше жж и очень прошу дать совет опять же по фаерволу.
Вы пишите, цитирую:
"Для нормального понимания проще всего попробовать прочитать правила на человеческом языке:
" Добавляем в правила фаервола разрешение на прохождение через роутер для пакетов с источника адресов 192.168.0.0/24 с портов источника 80 и 443 по протоколу tcp"
" Добавляем в правила фаервола разрешение на прохождение через роутер для пакетов с назначением в адреса 192.168.0.0/24 и в порты назначения 80 и 443 по протоколу tcp""

Во втором правиле, если трафик возвращается не по портам указанным в правиле, здесь соответственно 80 и 443, а по произвольным портам, как в таком случае написать правило?

А зачем вам вообще как-то отдельно разрешать обратный трафик?
Стандартная практика - прогонять через firewall только первый пакет для каждого соединения, а остальные (как в обратную сторону, так и в ту же, что и первый пакет) разрешать самым первым правилом с условием connection-state=established,related.

Спасибо. Дело в том, что правило, вроде как работало по такому принципу, потом почему-то перестало. Пришлось лезть в коннектшенс смотреть что с чем конектится при отключенном нижнем правиле - дропать все.

Для каждого правила создавать connection-state=established,related? Или достаточно одного верхнего?

Gror писал(а): ↑12 ноя 2019, 15:59 Спасибо. Дело в том, что правило, вроде как работало по такому принципу, потом почему-то перестало. Пришлось лезть в коннектшенс смотреть что с чем конектится при отключенном нижнем правиле - дропать все.

Для каждого правила создавать connection-state=established,related? Или достаточно одного верхнего?

Одно для цепочки forward, одно для input.