classic.ISPforum.cz

​ip firewall export file=name
..zeptám se ještě na poslední věc. Je toto nastavení mikrotiku chybné nebo prostě jenom jiné, ale bezpečné, tak jako když bych forward povolovat zvlášť?
Děkuji.

...no to je v tom mikrotiku, co nemusím zadávat forward a stačí pouze dst-nat. Bohužel jsem nevěděl, že to tam je, kdybych věděl, tak to nedávám na forum. Jestli tě obtěžuje to se mnou řešit, tak to prosím neřeš, nechci tě okrádat o čas, ale jinak za vše děkuji. Myslím, že nejenom já jsem se od tebe...

..nemohlo by to být toto, viz příloha
​

Provoz je zrovna u těchto dvou stejný, tj. eth1-wan, eth2-lan. Nahrazení XXX za IP je jenom mnou manuálně provedené, abych nezveřejňoval veřejné IP, žádnou úchylku v tom prosím nehledej.

....já právě nevím, kde je problém. Jestli tam kde forward musím dávat nebo tam kde ne. U této konfigurace forward nedávám ​/ip firewall filter add action=accept chain=input comment=input_icmp protocol=icmp add action=accept chain=input comment=est connection-state=established,related add action=acc...

Schválně pošlu ještě pravidla z MK, kde mám povolen pouze dst-nat a forward už ne. Na tomhle, co jsem posílal, musím povolit i forward, jenom dst-nat nestačí. Předpokládám, že to má něco s connection-state, ale nemohu přijít na to co. Output mám u tohoto accept, protože pro tento KM není tak důležit...

​/ip firewall layer7-protocol add name=facebook regexp="^.+(facebook.com).*\$" add name=youtube regexp="^.+(youtube.com).*\$" add name=spotify regexp="^.+(spotify.com).*\$" /ip firewall filter add action=accept chain=input protocol=icmp add action=accept chain=input con...

....no, asi mám, ale nevím jaký. Jinak bych se neptal

​Dobrý den, můžete mi prosím poradit. Ve firewall pravidlech mám jako výchozí politiku na inputu, outputu i forwardu drop. Co pak potřebuji povolit, tak povolím. Jde mi o dst-nat, kde např. povolím přístup z venku přes port xxx1 na lokální port xxx2. Vše funguje, ale na jednom mikrotiku musím povoli...