Přístup z vnitřní sítě do venkovní na všechny porty

vasek_c

Dobrý den,

mám Mikrotika a mám trochu problém s přístupem z vnitřní sítě do venkovní. resp. nefunguje mi přístup na některé porty na jiných veřejných adresách. Samozřejmě, že z jiné sítě (mimo mikrotika) s tím nemám problém.

Takt trochu tuším, kde bude asi problém a sice ve firewallu a pravidlech.. ASI..

Nedostanu se např. na "veřejná IP" nebo porty:

63203, 63204 , 63207, 8005,

Na Mikrotiku to bude chtít nějaké pravidlo IP – filter rules (myslím si), jen netuším, jak mohu nastavit pravidlo a otevřít směrem ven ideálně všechny porty.. Dovnitř to mám řešené NATem a VPNkou, ale potřebuji se dostat z vnitřní sítě ven na konkrétní zařízení..

Můžete mi s tímto někdo prosím pomoci ?

Děkuji moc a přeji příjemný den

Vašek

ludvik

Proč omezuješ output?

vasek_c

Už jsem na to asi přišel, ale stejně si nemyslím, že to je dobře..

Na ty uvedené porty jsem se nemohl dostat protože jsem je měl zároveň nastavené pro přístup na některá zařízení do vnitřní sítě..

V okamžiku, kdy jsem porty na vnitřní síti změnil, tak jsem se na uvedené porty ven dostal.. Není to asi správně, ale jinak nevím co s tím :(

Právě, že komunikaci ven omezovat nechci vůbec.

rsaf

Máš nějaký bordel v těch forwardech dovnitř - záleží jak je to udělané, ale v tom pravidle by měla být vyplněna třeba dst-address na adresu WAN rozhraní nebo tak něco. Jinak to pravidlo totiž "postihne" veškerý provoz, ne jen ten který přichází z venčí a má se nasměrovat někam dovnitř..

Nezkoušej nic vymýšlet a raději si přečti na wiki... jak to nastavit a tak to nastav. A nebo si pořiď nějaký blbuvzdorný router.

ludvik

A hlavně ... když chceš radu, nebo najít chybu v konfiguraci, měl bys tu konfiguraci rádcům ukázat.

vasek_c

viz příloha

Takhle mám nastavené pravidla na firewallu..

kysa

viz příloha

Takhle mám nastavené pravidla na firewallu..

To asi nemyslíš vážně

vasek_c

Proto si chci nechat poradit

ludvik

Tvorba firewallu (základní principy) tu byla popsána asi stokrát. Několikrát i mnou ...

a) na začátku povolení established/related

b) pak povolení protokolů,portů, co chceš pustit.

c) zákaz všeho ostatního.

d) oboje pro input a forward.

V závislosti na typu sítě můžeš b+c udělat obráceně. Zakázat co nechceš a pak povolit vše ... Krom inputu, tam se to neliší.

Input teoreticky firewall mít nemusí. Ale musíš omezit služby samotné (ip/services) a doufat, že to má mikrotik správně. Pokud ti tam běží DNS, tak se ovšem firewallu nevyhneš (nechceš, aby ho používal někdo mimo tvoji síť, fakt nechceš).

Blbé je, že jak máš firewall, tak padá možnost fastpath, zbývá jen fasttrack. Ale ani s jedním nemám zkušenosti, tak se mě neptej. Byť jednu radu bych měl - pro začátek si to vypni. Zbytečně ti to komplikuje pochopení.

Pokud dáváš konfiguraci, dávej textový export. Ne, že by to bylo u mikrotiku nějak extra čitelné, ale alespoň je tam vše. Na rozdíl od screenshotu. Tedy vlezeš do terminálu, roztáhneš ho co to jde, a dáš /ip firewall export a sem zkopíruješ.