ROS 7x zakázání internetu ale povolení RDP

xerxescz

Zdravím,

lámu už si nad tím hlavu přes týden, ale teď to začalo hořet…

Mám server za Mikrotikem, který je v nějaké VLANě a z důvodu dat co na něm jsou vůbec nesmí na internet. Řešil jsem to normálním pravidlem kdy jeho staticky přidělená IP adresa na out interface list WAN = drop. To funguje, ale potřebuji jednoho člověka pustit přes RDP zvenku, a vyloženě jej nechci pouštět na naši VPN.

Má někdo nějakou ideu, protože na ROS nejsem schopnej implementovat něco jako na NPF nebo pfsense / OPNsense option “do not NAT”.

Za všechny rady předem díky. Vím že to bude kravina a budu se stydět (stydím se už teď).

Alois

Pokud se má na ten server někdo dostat z venku, tak prostě DNAT pravidlo. Jinak ten dotaz nechápu.

xerxescz

DNAT pravidlo je, ale v okamžiku kdy mám ve Filter nastaveno že out interface list WAN na drop, tak se tam nikdo nedostane.

roberthalak

do filtra by som dal povoliť new connect na rdp a established na odpoveď zo servera
alebo mu spraviť samostatnú vpn s povoleniami len pre server

ludvik

Na prvním řádku máš mít accept established, related.
Na dalších řádcích povolení, co chceš ...
Na posledním řádku DROP bez dalších podmínek.

A pak je to vcelku logické a jasné. Existuje také pravidlo connection-nat-state dstnat (nebo tak nějak), které ti explicitně povolí (pokud chceš) to co uděláš v tabulce NAT jako DNAT.

ef

Bych udělal wireguard. Dostane konkrétní IP a tomu bych povolil provoz. Zbytek drop.

theitman

a nestačí pouze prostě před to drop pravidlo přidat pravidlo 6 TCP dstport 3389 accept ?
proč vymýšlet složitosti, kvůli jednomu klientovi ? Bohatě stačí když natem posune rdp na nějaký jiný port