Ahoj,
mám veřejnou IP uloženou v MT. Pokud ji zadám kdekoli v internetu nebo u ji zadá můj ISP, dostane se na stránku určenou pro přihlášení do mého RB + ke všem grafům. Jak zamezit tomu, aby se tato stránka dala otevřít, respektive aby byl jakýkoli přístup na MT z internetu zakázaný?
❗️Toto je původní verze internetového fóra ISPforum.cz do února 2020 bez možnosti registrace nových uživatelů. Aktivní verzi fóra naleznete na adrese https://telekomunikace.cz
zamezení přístupu "wan" portem do mikrotiku
fajrec - zakaz si input/output s "out interface wan" , popripade zakaz je to co nechces aby bylo dostupne - nezapomen na konec udelat drop pravidla ktera to co neakceptujes zahodi.
0 x
Maxik píše:fajrec - zakaz si input/output s "out interface wan" , popripade zakaz je to co nechces aby bylo dostupne - nezapomen na konec udelat drop pravidla ktera to co neakceptujes zahodi.
Oka, děkuji, mohl by ses prosím trochu rezepsat. Nevím, kde to mám hledat.
0 x
mrkni se ke me na demo (maxik v sekci dema) a vyber si z meho firewallu co potrebujes.
0 x
teda nevím jestli stačí jen ten jeden řádek ve firewallu
Naposledy upravil(a) marekjanu dne 12 Jun 2008 10:51, celkem upraveno 1 x.
0 x
pokud nema ten router byt dostupny z netu tak staci input WAN akce Drop
0 x
Maxik píše:pokud nema ten router byt dostupny z netu tak staci input WAN akce Drop
jj
0 x
a nebo stačilo upravit ve službách aby byla vidět jenom na vnitřní adrese
0 x
Supermicro + Mikrotik = SuperTik
high speed routery podle požadavků
high speed routery podle požadavků
/ ip service
________ port_____available From
www____ 4850______ 0.0.0.0/0
------------------------------------------------------------------------------------------
/ ip firewall filter-rules
Action____Chain____Src. Address____In. Interface____Dst. port____Protocol
accept____input____89.155.240.5____ether1(wan)____4850________6 (tcp)
accept____input____195.132.50.5____ether1(wan)____4850________6 (tcp)
...
...
...
drop____input___________________________________4850________6 (tcp)
-------------------------------------------------------------------------------------------
* ether1 - musí být WAN (ale to je asi jasne)
např. takto se dá udělat to aby www nenaslouchal na 80 portu ale treba na 4850 nebo jinem, tohle uz mene zdatné odradí. Ma to tu výhodu, že takto muzes sledovat www tveho MK jen z povolených IP adress viz. filter-rules,coz treba ja vyuzívam abych mohl sledovat trafik klientu bez použití sběru dat da se to nastavit treba na 5 IP a zbytek -drop-, pokud ti staci sledovat jen z jedné pak nemusis delat filter-rules ale zrovna do /ip services zamenis 0.0.0.0/0 na tu tvou konkretní IP ze které jen ty budes sledovat trafic. Pokud jsi ale v subnetu ISP pak musis zadat IP poslední GW tím ale otevres www mikrotiku pro vsechny co lezou ven pres tu danou GW, to uz neni tak efektivní.. Mam to takhle a funguje to perfektne ...
Pravidla -drop- musi být az po pravidlech accept !!!
Tak snad to takto staci ...
________ port_____available From
www____ 4850______ 0.0.0.0/0
------------------------------------------------------------------------------------------
/ ip firewall filter-rules
Action____Chain____Src. Address____In. Interface____Dst. port____Protocol
accept____input____89.155.240.5____ether1(wan)____4850________6 (tcp)
accept____input____195.132.50.5____ether1(wan)____4850________6 (tcp)
...
...
...
drop____input___________________________________4850________6 (tcp)
-------------------------------------------------------------------------------------------
* ether1 - musí být WAN (ale to je asi jasne)
např. takto se dá udělat to aby www nenaslouchal na 80 portu ale treba na 4850 nebo jinem, tohle uz mene zdatné odradí. Ma to tu výhodu, že takto muzes sledovat www tveho MK jen z povolených IP adress viz. filter-rules,coz treba ja vyuzívam abych mohl sledovat trafik klientu bez použití sběru dat da se to nastavit treba na 5 IP a zbytek -drop-, pokud ti staci sledovat jen z jedné pak nemusis delat filter-rules ale zrovna do /ip services zamenis 0.0.0.0/0 na tu tvou konkretní IP ze které jen ty budes sledovat trafic. Pokud jsi ale v subnetu ISP pak musis zadat IP poslední GW tím ale otevres www mikrotiku pro vsechny co lezou ven pres tu danou GW, to uz neni tak efektivní.. Mam to takhle a funguje to perfektne ...
Pravidla -drop- musi být az po pravidlech accept !!!
Tak snad to takto staci ...
0 x