Назад | Перейти на главную страницу

MikroTik - не удается получить доступ к веб-файлу с внешнего / не удается подключиться по SSH к маршрутизатору с внешнего IP-адреса

В порядке,

вот сделка.

Допустим, мой общедоступный IP-адрес - 10.0.01. Я не могу подключиться к 10.0.01 через внешний IP-адрес и не могу подключиться по SSH к маршрутизатору mikrotik с внешнего IP-адреса.

Я могу это сделать, если я физически подключен к роутеру (в той же локальной сети). Это позволяет мне использовать как webfig, так и SSH, используя 10.0.0.1 или 192.168.88.1.

Однако, если я нахожусь в другой локальной сети, я не могу подключиться.

Кстати, я установил свой IP> Services> ports для webfig - 64291, а SSH - 23.

Вот мои правила брандмауэра и NAT.

ПРАВИЛА

0 ;;; ALLOW ALL TO LAN
chain=input action=accept connection-state=established,related,new in-interface=bridge-local log=no log-prefix=""

1 ;;; ALLOW ICMP (Ping) ON ALL
chain=input action=accept protocol=icmp log=no log-prefix=""

2 ;;; Drop Everything Else
chain=input action=drop log=no log-prefix=""

3 ;;; default configuration
chain=input action=drop in-interface=ether1-gateway log=no log-prefix=""

4 ;;; default configuration
chain=forward action=accept connection-state=established,related,new in-interface=bridge-local log=no log-prefix=""

5 ;;; default configuration
chain=forward action=drop connection-state=invalid log=no log-prefix=""

6 ;;; default configuration
chain=forward action=drop connection-state=new connection-nat-state=!dstnat in-interface=ether1-gateway log=no log-prefix=""

NAT

0 ;;; default configuration
chain=srcnat action=masquerade to-addresses=X.X.X.X out-interface=ether1-gateway     log=no log-prefix=""

1 chain=dstnat action=dst-nat to-addresses=192.168.88.200 protocol=tcp dst-address=X.X.X.X dst-port=80 log=no log-prefix=""

2 chain=srcnat action=src-nat to-addresses=X.X.X.X protocol=tcp src-address=192.168.88.0/24 log=no log-prefix=""

3 chain=dstnat action=dst-nat to-addresses=192.168.88.200 to-ports=22 protocol=tcp dst-address=X.X.X.X dst-port=22 log=no log-prefix=""

4 chain=srcnat action=src-nat to-addresses=192.168.88.200 to-ports=22 protocol=tcp src-address=192.168.88.0/24 log=no log-prefix=""

5 chain=dstnat action=dst-nat to-addresses=192.168.88.1 protocol=tcp dst-address=X.X.X.X dst-port=23 log=no log-prefix=""

Отключите правило №2 + №3 и повторите попытку. Или вы можете сделать исключение для своих портов ssh + www

Вы все бросаете в трафик от ether1-шлюза.

Правила №2 + №3 практически одинаковы. Рекомендую удалить # 2


ОБНОВЛЕННЫЙ ОТВЕТ

Для создания безопасного маршрутизатора не рекомендуется менять порты, создавая ложное чувство безопасности. Однако это простая реализация.

Как защитить открытые / перенаправленные порты

/ip firewall filter add chain=input dst-port=22,80,443 in-interface=ether1-gateway protocol=tcp
/ip firewall filter add action=drop chain=input in-interface=ether1-gateway

PD: ether1-gateway - это WAN-порт, dst-port - это порты, которые вы хотите оставить открытыми. Переместите эти фильтры, заменив номер 2 на 3 на вашем Mikrotik, и сохраните этот порядок!

А затем защитите свои пароли + соединения и сделайте активный анализ-контроль ваших неудачных / грубых попыток соединения:

  1. Использование функции fail-to-ban в Linux-системах или скриптов для защиты от перебора -> Защита от брутфорса
  2. Используйте длинные пароли, верхний и нижний регистры, смешанные с цифрами
  3. Используйте безопасные соединения, такие как https ssh, telnet или http