Mikrotik - Firewall
Ne, 13/02/2011 - 01:52 — admin
Nastavení firewallu je dost obsáhlá kapitola na několik článků. Tady uvedu jen základní nastavení.
Asi nejpoužívanější nastavení je maškaráda. Pomocí tohoto nastavení přistupují všechny počítače v lokální síti k internetu a z venku to vypadá jako by to byl jeden počítač s veřejnou IP adresou mikrotiku. Doporučuju přidat podmínku out-interface, nebo src-address, aby nám maškarada nefungovala i obráceně do naší sítě.
/ip firewall nat add action=masquerade chain=srcnat out-interface=01_Vnejsi src-address=192.168.0.0/24 comment="" disabled=no
Nastavení filtru.
/ip firewall filter add action=drop chain=input comment="Zakazat spatna spojeni" connection-state=invalid disabled=no
/ip firewall filter add action=accept chain=input comment="Povolit otevrena spojeni" connection-state=established disabled
=no
/ip firewall filter add action=accept chain=input comment="Povolit ICMP" disabled=no protocol=icmp
/ip firewall filter add action=accept chain=input comment="Povolit vse z lan co nejde z venku" disabled=no in-interface=!01_Vnejsi src-address=192.168.0.0/24
/ip firewall filter add action=accept chain=input comment="Povolit Winbox" disabled=no dst-port=8291 protocol=tcp
/ip firewall filter add action=accept chain=forward comment="Povolit SSH" disabled=no dst-port=22 protocol=tcp
/ip firewall filter add action=log chain=input comment="Logovat vse" disabled=yes log-prefix=""
/ip firewall filter add action=drop chain=input comment="Zakazat vse" disabled=no
Přesměrování portů.
/ip firewall nat add action=netmap chain=dstnat comment="Torrent port sem" disabled=no dst-port=6883 in-interface=ADSL protocol=tcp to-addresses=192.168.0.31 to-ports=6883
/ip firewall nat add action=dst-nat chain=dstnat comment="SSH port sem" disabled=no dst-port=22 in-interface=ADSL protocol=tcp to-addresses=192.168.0.2 to-ports=22
