Stránka 1 z 1
zamezení přístupu "wan" portem do mikrotiku
Napsal: 11 Jun 2008 11:31
od marekjanu
Ahoj,
mám veřejnou IP uloženou v MT. Pokud ji zadám kdekoli v internetu nebo u ji zadá můj ISP, dostane se na stránku určenou pro přihlášení do mého RB + ke všem grafům. Jak zamezit tomu, aby se tato stránka dala otevřít, respektive aby byl jakýkoli přístup na MT z internetu zakázaný?
Re: zamezení přístupu "wan" portem do mikrotiku
Napsal: 11 Jun 2008 11:35
od Maxik
fajrec - zakaz si input/output s "out interface wan" , popripade zakaz je to co nechces aby bylo dostupne - nezapomen na konec udelat drop pravidla ktera to co neakceptujes zahodi.
Re: zamezení přístupu "wan" portem do mikrotiku
Napsal: 11 Jun 2008 11:38
od marekjanu
Maxik píše:fajrec - zakaz si input/output s "out interface wan" , popripade zakaz je to co nechces aby bylo dostupne - nezapomen na konec udelat drop pravidla ktera to co neakceptujes zahodi.
Oka, děkuji, mohl by ses prosím trochu rezepsat. Nevím, kde to mám hledat.
Re: zamezení přístupu "wan" portem do mikrotiku
Napsal: 11 Jun 2008 12:03
od Maxik
mrkni se ke me na demo (maxik v sekci dema) a vyber si z meho firewallu co potrebujes.
Re: zamezení přístupu "wan" portem do mikrotiku
Napsal: 11 Jun 2008 19:15
od marekjanu
teda nevím jestli stačí jen ten jeden řádek ve firewallu
Re: zamezení přístupu "wan" portem do mikrotiku
Napsal: 11 Jun 2008 19:50
od Maxik
pokud nema ten router byt dostupny z netu tak staci input WAN akce Drop
Re: zamezení přístupu "wan" portem do mikrotiku
Napsal: 11 Jun 2008 20:35
od marekjanu
Maxik píše:pokud nema ten router byt dostupny z netu tak staci input WAN akce Drop
jj
Re: zamezení přístupu "wan" portem do mikrotiku
Napsal: 15 Jun 2008 12:44
od hapi
a nebo stačilo upravit ve službách aby byla vidět jenom na vnitřní adrese
Re: zamezení přístupu "wan" portem do mikrotiku
Napsal: 15 Jun 2008 18:56
od travel21
/ ip service
________ port_____available From
www____ 4850______ 0.0.0.0/0
------------------------------------------------------------------------------------------
/ ip firewall filter-rules
Action____Chain____Src. Address____In. Interface____Dst. port____Protocol
accept____input____89.155.240.5____ether1(wan)____4850________6 (tcp)
accept____input____195.132.50.5____ether1(wan)____4850________6 (tcp)
...
...
...
drop____input___________________________________4850________6 (tcp)
-------------------------------------------------------------------------------------------
* ether1 - musí být WAN (ale to je asi jasne)
např. takto se dá udělat to aby www nenaslouchal na 80 portu ale treba na 4850 nebo jinem, tohle uz mene zdatné odradí. Ma to tu výhodu, že takto muzes sledovat www tveho MK jen z povolených IP adress viz. filter-rules,coz treba ja vyuzívam abych mohl sledovat trafik klientu bez použití sběru dat da se to nastavit treba na 5 IP a zbytek -drop-, pokud ti staci sledovat jen z jedné pak nemusis delat filter-rules ale zrovna do /ip services zamenis 0.0.0.0/0 na tu tvou konkretní IP ze které jen ty budes sledovat trafic. Pokud jsi ale v subnetu ISP pak musis zadat IP poslední GW tím ale otevres www mikrotiku pro vsechny co lezou ven pres tu danou GW, to uz neni tak efektivní.. Mam to takhle a funguje to perfektne ...
Pravidla -drop- musi být az po pravidlech accept !!!
Tak snad to takto staci ...