Мы хотим сделать это:
Интернет <-> MikroTik в режиме моста с фильтром межсетевого экрана <-> Размещенный сервер
Основная цель - разрешить RDP и FTP извне, но заблокировать все остальное извне. Изнутри все должно погаснуть.
Проблема, с которой мы сталкиваемся, заключается в том, что мы добавляем эти правила и блокирование снаружи внутрь работает, но теперь размещенный сервер не может получить доступ к чему-либо извне. TCP / IP, возвращаемый извне, - это не порт 3389 или порт 80, а случайный.
/ интерфейсный мостовой фильтр> pr
Флаги: X - отключено, I - недопустимо, D - динамическое 0 ;;; Принять ICMP для цепочки PING = forward action = accept mac-protocol = ip dst-address = 196.x.x.x / 32 ip-protocol = icmp
1 ;;; Accept FTP Transfer Port chain = forward action = accept mac-protocol = ip dst-address = 196.x.x.x / 32 dst-port = 20 ip-protocol = tcp
2 ;;; Accept FTP Control Port chain = forward action = accept mac-protocol = ip dst-address = 196.x.x.x / 32 dst-port = 21 ip-protocol = tcp
3 ;;; Принять цепочку RDP = действие вперед = принять mac-protocol = ip dst-address = 196.x.x.x / 32 dst-port = 3389 ip-protocol = tcp
4 ;;; Регистрировать все, что вот-вот будет сброшено, цепочка = forward action = log mac-protocol = ip dst-address = 196.x.x.x / 32 ip-protocol = tcp log-prefix = "firewall_drop"
5 ;;; Отбросить все цепочка = прямое действие = сбросить mac-protocol = ip dst-address = 196.x.x.x / 32 ip-protocol = tcp
Просто мост FYI настроен на использование брандмауэра, и отслеживание соединений включено.
Я согласен с @Matt в том, что мостовое соединение было глупой идеей и что мы должны были выполнить маршрутизацию с самого начала. Единственная причина, по которой мы установили мост, заключалась в том, что нашим пограничным маршрутизатором был устаревший Cisco VXR 7206 с двумя интерфейсами: WAN (ATM) и LAN (используемый для общедоступного) интерфейса. Мы хотели сделать брандмауэр общедоступным без повторной подсети нашей сети. Кроме того, хотя предложение @ DJ_Kukky об использовании DST-NAT правдоподобно, это привело бы к гораздо большему количеству настроек, а также мы не можем (или не будем) предоставлять нашим клиентам частные IP-адреса, поскольку мы являемся общедоступным ISP.
Мы должны были либо внедрить правила брандмауэра на Cisco, либо заменить технологию (ATM). В конце концов, мы заменили банкомат на MetroEthernet, и мы смогли установить внешний интерфейс на интерфейсе Ethernet и использовать MikroTik. Это действительно хорошо работает.
Это как-то связано с отслеживанием соединений, но я точно не знаю, как это работает в мосте. Я бы просто добавил еще одно правило, разрешающее все изнутри с src-адресом или интерфейсом:
add chain=forward action=accept mac-protocol=ip src-address=196.x.x.x/32 ip-protocol=tcp place-before=4
Я предлагаю использовать локальную IP-подсеть для вашего сервера и иметь частную локальную сеть между микротиком (маршрутизатором) и сервером. Также есть микротик прямо на публичном ip. Затем выполните ip src-nat для исходящего трафика (с сервера в Интернет). Весь входящий трафик должен перенаправляться на порт (dst-nat). Также вы можете использовать обычный межсетевой экран IP уровня 3 и отключить межсетевой экран уровня 3 для сети уровня 2 / моста.