Страница 1 из 1
Запретить ИЗВНЕ доступ кроме определенных адресов
Добавлено: 04 апр 2022, 12:15
evg2020
Здравствуйте.
Задолбали уже мамкины хакеры со всей планеты, пытающиеся подобрать пароль к впн, поднятому на микротике.
Задача такая: есть 5-6 ip-адресов, с которых подключаются сотрудники по vpn к микротику, и работают за ним в локальной сети. Надо для этих адресов сделать белый список, а всех остальных просто дропать.
Как правильно это организовать?
Re: Запретить ИЗВНЕ доступ кроме определенных адресов
Добавлено: 04 апр 2022, 17:00
Marquess
через winbox:
IP-Firewall-Address List
создаёте лист с нужными ip
затем ip-firewall-filter rules
на правилах VPN на закладке Advanced.
Src. Address list указываете созданный лист
Re: Запретить ИЗВНЕ доступ кроме определенных адресов
Добавлено: 04 апр 2022, 19:27
evg2020
Marquess писал(а): ↑04 апр 2022, 17:00
через winbox:
IP-Firewall-Address List
создаёте лист с нужными ip
затем ip-firewall-filter rules
на правилах VPN на закладке Advanced.
Src. Address list указываете созданный лист
Спасибо, но интересует именно, как сделать так чтобы не только по впн, а вообще весь входящий извне трафик таким образом отсеивать. Потому, что и по впн лезут, и порты сканируют и т.д.
Дак вот чтоб всё это нещадно дропалось.
Я так полагаю, цепочку forward тоже нужно так же защитить? Не только input?
Re: Запретить ИЗВНЕ доступ кроме определенных адресов
Добавлено: 04 апр 2022, 22:44
vladislav.granovskiy
evg2020 писал(а): ↑04 апр 2022, 19:27
Marquess писал(а): ↑04 апр 2022, 17:00
через winbox:
IP-Firewall-Address List
создаёте лист с нужными ip
затем ip-firewall-filter rules
на правилах VPN на закладке Advanced.
Src. Address list указываете созданный лист
Спасибо, но интересует именно, как сделать так чтобы не только по впн, а вообще весь входящий извне трафик таким образом отсеивать. Потому, что и по впн лезут, и порты сканируют и т.д.
Дак вот чтоб всё это нещадно дропалось.
Я так полагаю, цепочку forward тоже нужно так же защитить? Не только input?
создаете правило в инпуте, разрешающее.
создаете еще одно правило, которое запрещает все.( action:drop )
Re: Запретить ИЗВНЕ доступ кроме определенных адресов
Добавлено: 04 апр 2022, 23:15
hardrockbaby
evg2020 писал(а): ↑04 апр 2022, 12:15Надо для этих адресов сделать белый список, а всех остальных просто дропать
В список
ip allowed добавите разрешенные адреса; в списке
in-interface-list (или
in-interface) нужные интерфейсы
Код: Выделить всё
/ip firewall address-list
add address=1.2.3.4 list="ip allowed"
add address=1.2.3.5 list="ip allowed"
/ip firewall raw chain=prerouting action=drop \
in-interface-list=WAN src-address-list="!ip allowed"