mirmo80 píše:Teraz trošku k tomu chain input, output a forward.
Input = rovná sa packet z vonku? Napr. z iného switchu, routra, servera, webu...?
Output = packet z routra napr. na iný router, switch...?
Forward = skrz router, tzn. packety prebiehajúce vo vnútri routra (napr. práve medzi lan a vlan)? Alebo skrz router znamená, že príde z iného routra (inej siete) cez môj router len prejde (príp. sa na neho uplatní nejaké pravidlo) a pokračuje zase napr. do ďalšieho routra? Pretože ja som forward potom asi nesprávne pochopil. Myslel som si, že je to pravidlo pre packet, ktorý prichádza z vonku, cez môj router len prejde a len pokračuje ďalej do ďalších zariadení.
Ďakujem
z venku - paket prostě nevznikl na TOMTO ROUTERU KTERÝ NASTAVUJEŠ.
Output - jsem napsal něco jiného?
Forward - nechápu co myslíš. Obě části tvého tvrzení jsou pravdivé. Daný paket přišel z venku, chvilku pobude uvnitř routeru a má za cíl opět něco venku, čili ho opět (teoreticky) opustí.
--
Ten tvůj poslední výpis je nějaký podivný. Address-list je řekněme pomůcka pro udržování seznamů ip adres (či celých sítí) a jejich použití ve firewallu v jednom pravidle hromadně. Tedy něco ve smyslu třeba "povol příchozí provoz na port winboxu všem zdrojovým adresám obsaženým v tomto address-listu". Zjednodušuje to firewall a zároveň v případě velkého množství adres hodně zvyšuje výkon (prostě místo tisíce pravidel je jen jedno vyhledání v address-listu). Také se podstatně lépe udržuje, než ty přímá pravidla firewallu.
Jenže ty s ním nikde nepracuješ. Ono také není dobré si to nazvat stejně, jako jiné věci, pak to dost mate (začátečníky tuplem). Ve tvém případě tedy shoda s názvy rozhraní není úplně správná.
Hlášení cloud not connect jsem v životě neviděl. A asi nikdy jsem neměl problém s připojením přes IP adresu. S tímto firewallem ti v připojení může bránit jen a pouze nastavení v ip/services.
---
Zkusím ti dát slovní návod. Pravidla piš tak, abys v nich měl přehled. Tedy nekombinuj do sebe různé chainy. Fungovat to bude, ale pro tebe to bude děsný zmatek.
INPUT:
accept ESTABLISHED,RELATED,UNTRACKED
drop INVALID
accept in-interface LAN
drop
Tímto velice jednoduchým nastavením ti půjde všechno z rozhraní nazvaného LAN. Z jiných nepůjde nic. Týká se to služeb poskytovaných tímto routerem, winbox, dns, ftp a bůhví co ještě.
Pro jistotu: pokud budeš povolovat přístup z internetu, nikdy nesmíš nechat povolené DNS (tedy TCP a UDP port 53), máš-li DNS server nastavený jako allow remote requests. Podobně i port 123, máš-li instalovaný NTP server.
FORWARD
accept ESTABLISHED,RELATED,UNTRACKED
drop INVALID
drop VŠEHO CO CHCEŠ EXPLICITNĚ ZAKÁZAT. Tedy i ty tvé dva řádky blokující komunikaci mezi LAN a VLAN10.
accept in-interface LAN a VLAN10 (tím ti tedy pojede internet z obou rozhraní)
accept state DNAT (projdou tedy spojení povolená/nastavená v tabulce NAT jako DSTNAT)
drop
No a své výmysly pak dáváš mezi druhý a poslední řádek. A vždy musíš myslet na podříznutí větve, kde sedíš. Jak jsem zmiňoval, pravidla se prochází odshora dolů dokud nenarazí na nějaký accept, či drop nebo reject (trochu zjednodušuji). Pravidla pro ESTABLISHED ti ovšem zaručí, že i když uděláš chybu (a budou první), připojení na ten router nespadne. Pojede dokud ho nezavřeš. Proto po nějakých změnách vždy spusť druhý winbox, jestli to ještě stále funguje.
Každé pravidlo má také počítadlo, které ti řekne jak zabírá. Také lze zapnout jeho logování, pak se můžeš podívat jaké pakety to doslova byly (uvidíš adresy, porty, protokoly).