Dobrý den,
mám Mikrotika a mám trochu problém s přístupem z vnitřní sítě do venkovní. resp. nefunguje mi přístup na některé porty na jiných veřejných adresách. Samozřejmě, že z jiné sítě (mimo mikrotika) s tím nemám problém.
Takt trochu tuším, kde bude asi problém a sice ve firewallu a pravidlech.. ASI..
Nedostanu se např. na "veřejná IP:8000" nebo porty:
63203, 63204 , 63207, 8005,
Na Mikrotiku to bude chtít nějaké pravidlo IP – filter rules (myslím si), jen netuším, jak mohu nastavit pravidlo a otevřít směrem ven ideálně všechny porty.. Dovnitř to mám řešené NATem a VPNkou, ale potřebuji se dostat z vnitřní sítě ven na konkrétní zařízení..
Můžete mi s tímto někdo prosím pomoci ?
Děkuji moc a přeji příjemný den
Vašek
❗️Toto je původní verze internetového fóra ISPforum.cz do února 2020 bez možnosti registrace nových uživatelů. Aktivní verzi fóra naleznete na adrese https://telekomunikace.cz
Přístup z vnitřní sítě do venkovní na všechny porty
Proč omezuješ output?
0 x
Jelikož je zde zakázáno se negativně vyjadřovat k provozním záležitostem, tak se holt musím vyjádřit takto: nové fórum tak jak je připravováno považuji za cestu do pekel. Nepřehledný maglajz z toho bude. Do podpisu se mi pozitiva již nevejdou.
Už jsem na to asi přišel, ale stejně si nemyslím, že to je dobře..
Na ty uvedené porty jsem se nemohl dostat protože jsem je měl zároveň nastavené pro přístup na některá zařízení do vnitřní sítě..
V okamžiku, kdy jsem porty na vnitřní síti změnil, tak jsem se na uvedené porty ven dostal.. Není to asi správně, ale jinak nevím co s tím
Právě, že komunikaci ven omezovat nechci vůbec.
Na ty uvedené porty jsem se nemohl dostat protože jsem je měl zároveň nastavené pro přístup na některá zařízení do vnitřní sítě..
V okamžiku, kdy jsem porty na vnitřní síti změnil, tak jsem se na uvedené porty ven dostal.. Není to asi správně, ale jinak nevím co s tím
Právě, že komunikaci ven omezovat nechci vůbec.
0 x
Máš nějaký bordel v těch forwardech dovnitř - záleží jak je to udělané, ale v tom pravidle by měla být vyplněna třeba dst-address na adresu WAN rozhraní nebo tak něco. Jinak to pravidlo totiž "postihne" veškerý provoz, ne jen ten který přichází z venčí a má se nasměrovat někam dovnitř..
Nezkoušej nic vymýšlet a raději si přečti na wiki... jak to nastavit a tak to nastav. A nebo si pořiď nějaký blbuvzdorný router.
Nezkoušej nic vymýšlet a raději si přečti na wiki... jak to nastavit a tak to nastav. A nebo si pořiď nějaký blbuvzdorný router.
0 x
A hlavně ... když chceš radu, nebo najít chybu v konfiguraci, měl bys tu konfiguraci rádcům ukázat.
0 x
Jelikož je zde zakázáno se negativně vyjadřovat k provozním záležitostem, tak se holt musím vyjádřit takto: nové fórum tak jak je připravováno považuji za cestu do pekel. Nepřehledný maglajz z toho bude. Do podpisu se mi pozitiva již nevejdou.
viz příloha
Takhle mám nastavené pravidla na firewallu..
Takhle mám nastavené pravidla na firewallu..
- Přílohy
-
- Výstřižek.PNG (16.49 KiB) Zobrazeno 2896 x
0 x
Vasek_C píše:viz příloha
Takhle mám nastavené pravidla na firewallu..
To asi nemyslíš vážně
0 x
Petr Krist
Tvorba firewallu (základní principy) tu byla popsána asi stokrát. Několikrát i mnou ...
a) na začátku povolení established/related
b) pak povolení protokolů,portů, co chceš pustit.
c) zákaz všeho ostatního.
d) oboje pro input a forward.
V závislosti na typu sítě můžeš b+c udělat obráceně. Zakázat co nechceš a pak povolit vše ... Krom inputu, tam se to neliší.
Input teoreticky firewall mít nemusí. Ale musíš omezit služby samotné (ip/services) a doufat, že to má mikrotik správně. Pokud ti tam běží DNS, tak se ovšem firewallu nevyhneš (nechceš, aby ho používal někdo mimo tvoji síť, fakt nechceš).
Blbé je, že jak máš firewall, tak padá možnost fastpath, zbývá jen fasttrack. Ale ani s jedním nemám zkušenosti, tak se mě neptej. Byť jednu radu bych měl - pro začátek si to vypni. Zbytečně ti to komplikuje pochopení.
Pokud dáváš konfiguraci, dávej textový export. Ne, že by to bylo u mikrotiku nějak extra čitelné, ale alespoň je tam vše. Na rozdíl od screenshotu. Tedy vlezeš do terminálu, roztáhneš ho co to jde, a dáš /ip firewall export a sem zkopíruješ.
a) na začátku povolení established/related
b) pak povolení protokolů,portů, co chceš pustit.
c) zákaz všeho ostatního.
d) oboje pro input a forward.
V závislosti na typu sítě můžeš b+c udělat obráceně. Zakázat co nechceš a pak povolit vše ... Krom inputu, tam se to neliší.
Input teoreticky firewall mít nemusí. Ale musíš omezit služby samotné (ip/services) a doufat, že to má mikrotik správně. Pokud ti tam běží DNS, tak se ovšem firewallu nevyhneš (nechceš, aby ho používal někdo mimo tvoji síť, fakt nechceš).
Blbé je, že jak máš firewall, tak padá možnost fastpath, zbývá jen fasttrack. Ale ani s jedním nemám zkušenosti, tak se mě neptej. Byť jednu radu bych měl - pro začátek si to vypni. Zbytečně ti to komplikuje pochopení.
Pokud dáváš konfiguraci, dávej textový export. Ne, že by to bylo u mikrotiku nějak extra čitelné, ale alespoň je tam vše. Na rozdíl od screenshotu. Tedy vlezeš do terminálu, roztáhneš ho co to jde, a dáš /ip firewall export a sem zkopíruješ.
0 x
Jelikož je zde zakázáno se negativně vyjadřovat k provozním záležitostem, tak se holt musím vyjádřit takto: nové fórum tak jak je připravováno považuji za cestu do pekel. Nepřehledný maglajz z toho bude. Do podpisu se mi pozitiva již nevejdou.