Nastavení firewallu - blokace POUZE odchozího spojení na Mikrotiku v rámci LAN

[radekpaos]

Ahoj,
mám následující problém, který se mi nedaří vyřešit. Na Mikrotiku forwarduji WAN 443 port do lokální sítě (bohužel nejde jen do čisté DMZ), a to na Linuxový server. Na tento linuxový server je přístup jak z vnější sítě, tak i z LAN. Toto funguje bezvadně - ale potřeboval bych zajistit, aby v případě hacknutí toho Linux serveru se nikdo nedostal do lokální sítě - tedy potřeboval bych na Mikrotiku definovat pravidlo, které by povolilo příchozí spojení z WAN/LAN, ale pokud by někdo inicioval spojení z Linuxového serveru do LAN, tak bych to potřeboval dropnout.

Zkoušel jsem si hrát s fireall nastavení na mikrotiku, ale buď jsem to dostal do stavu, že nefungovala příchozí spojení nebo odchozí nebyla blokována. A to jsem si myslel, že to bude pohodička. Nakopne mne někdo?

Díky,

[ludvik]

Musíš nám říci, co je přesně LAN. A až nám to řekneš, tak to asi pochopíš ... Provoz v rámci LAN v naprosté většině případů přes router vůbec nejde.

[Pelirob]

To asi nepůjde jinak, než že linux-server připojíš fyzicky do nějakého eth na mikrotiku, aby mikrotik mohl řídit In/Out provoz k serveru. Pak ve firewallu povolíš přístup z WANu na server a v dalším pravidle zakážeš komunikaci, která vzniká na serveru a směřuje do LAN...
Bez záruky (určitě mě někdo zkušenější opraví) - vyzkoušej tohle

Kód: Vybrat vše

/ip firewall filter add chain=forward action=accept protocol=tcp dst-address="IP_adresa_serveru" dst-port=443 in-interface="jmeno WAN interface" comment="povol pristup na server z WANu"
/ip firewall filter chain=forward action=drop connection-state=new src-address="IP_adresa_serveru" dst-address="IP rozsah vnitrni site" comment="zakaz pristup server-->LAN"

Přičemž "IP_adresa_serveru", "jmeno WAN interface", "IP rozsah vnitrni site" nahraď údaji podle své potřeby.