classic.ISPforum.cz

Dobrý den, chtěl bych se zeptat. Používám mikrotik jako fw do internetu (používám NAT na WAN rozhraní). Potřebuji však povolit příchozí komunikaci na PC v síti LAN například RDP (tcp 3389).
Vím, že je potřeba udělat DST-NAT na určité PC ve vnitřní síti. Co mě ale zaráží, je že při snaze navázat spojení pomocí RDP na WAN rozhraní například (přístup na rdp stroje ve vnitřní síti LAN) se neuplatňuje filtr INPUT, ale uplatňuje se filtr FORWARD. Je to správně? Používám routerOS 3.9.
Chápal bych, že packet určen pro RDP dorazí na WAN rozhraní a uplatní se filtr INPUT, ale podle všeho se uplatňuje FORWARD (jakoby pro průchozí komunikaci).

Prosím Vás o vysvětlení.
Děkuji

jnovak píše:.... se neuplatňuje filtr INPUT, ale uplatňuje se filtr FORWARD. Je to správně? Používám routerOS 3.9.
Chápal bych, že packet určen pro RDP dorazí na WAN rozhraní a uplatní se filtr INPUT, ale podle všeho se uplatňuje FORWARD (jakoby pro průchozí komunikaci).

Prosím Vás o vysvětlení.
Děkuji

Ahoj taky jsem rešil tento problem ... vysvětlení jsem našel na těchto strankach v sekci ke stažení - Základní seznámení s MK
http://www.ispforum.cz/files/mikrotik_seznameni.pdf

Vytaženo z výkladu :

Základní práce s paketovým firewallem
Mikrotik RouterOS disponuje pokročilým firewallem, který umožňuje pracovat s pakety
procházející směrovačem. Pravidla pro práci s pakety můžete nastavit v ip – firewall,
záložka Filter Rules.
Pravidla ve Filter Rules, jsou rozdělena do tří základních skupin, tzv. Filter Chains:
Input – pravidla aplikující se na pakety, které přichází některým rozhranním a končí
na směrovači. Mohou to být např. pingy, administrační pakety (WinBox, ssh) atd…
Forward – pravidla pro pakety, které prochází směrovačem, na tyto pakety se
neuplatňují pravidla uvedené v Input či Output
Output – pravidla pro pakety, které vznikly na směrovači a odcházejí některým
rozhranním. Mohou to být odpovědi na pingy, komunikace s WinBoxem, ssh atd…
--------------------------------------------------------------------------------------------------------
Na vzdálenou plochu používáš směrování paketů z WAN "xxxx" portu na port 3389 do lokalní sítě tzn. přes maskaradu proto "forward" (pozor maskarada není podminkou pro forward), pakety prochází zjednoho rozhraní na druhé. V ramci daného segmentu to ale tak nefunguje, protože dané pakety neprochází směrovačem (neleze to z rozhraní do rozhraní). Neco jiného by bylo kdyby jsi měl např. ether1-WAN, ether2-LAN1 (rozsah 10.0.0.16/28), ether3-LAN2 (10.1.0.16/28). I když oba eternové porty mohou sloužit jako lokal za NAT, komunikace mezi nimi muze byt řízena firewallem, ja takto např. řeším blokovaní portu 139 a 445, aby dva rozsahy mezi sebou nesdileli data, funguje to.