Я не уверен, что поступлю правильно ...
У меня есть 3 статических IP-адреса от моего интернет-провайдера, которые находятся в одной подсети с одним и тем же шлюзом. Один адрес используется для маршрутизатора (RB3011 - 6.43.8) на мосту, порты 1-3. Интернет-провайдер подключен к порту 1. Порты 2 и 3 предназначены для веб-сервера и сервера электронной почты. LAN находится на порте 5, а отдельная LAN для моего рабочего места (оборудование заказчика) находится на мосту, использующем порты 6-8.
Я не могу заставить работать правила IP-фильтра. Я хотел бы установить правила фильтрации, чтобы разрешать трафик только на назначенные порты на веб-сервере и сервере электронной почты, блокируя все порты в подсетях LAN.
Что я делаю не так?
/ интерфейсный мост
добавить имя = мост1-Интернет
добавить name = bridge2-WorkRoom
/ интерфейс беспроводных профилей безопасности
установить [find default = yes] supplicant-identity = MikroTik
/ инструмент пользователь-менеджер клиент
установить доступ администратора = own-routers, own-users, own-profiles, own-limits, config-payment-gw
/ интерфейсный мост порт
добавить мост = bridge1-Internet interface = ether1
добавить мост = bridge1-Internet interface = ether2
добавить мост = bridge1-Internet interface = ether3
добавить мост = bridge2-WorkRoom interface = ether6
добавить мост = bridge2-WorkRoom interface = ether7
добавить мост = bridge2-WorkRoom interface = ether8
/ настройки моста интерфейса
установите use-ip-firewall = yes
/айпи адрес
добавить адрес = 10.10.99.5 / 24 interface = ether5 network = 10.10.99.0
добавить адрес = 10.10.97.1 / 25 interface = bridge2-WorkRoom network = 10.10.97.0
добавить адрес = 207.174.237.157 / 24 interface = bridge1-Internet network = 207.174.237.0
/ ip фильтр межсетевого экрана
добавить действие = принять цепочку = состояние входного соединения = установлено, связанное в-
interface = bridge1-Internet
добавить действие = принять цепочку = ввести dst-адрес = 207.174.237.241 dst-порт = 25,80,443,995
in-interface = bridge1-Internet protocol = tcp
добавить действие = принять цепочку = вход в интерфейс = мост1-Интернет-протокол = icmp
добавить действие = drop chain = input in-interface = bridge1-Internet
/ IP брандмауэр нат
добавить действие = маскарадная цепочка = srcnat out-interface = bridge1-Internet
добавить действие = dst-nat chain = dstnat dst-address = 207.174.237.157 dst-port = 80
протокол = tcp to-addresses = 10.10.99.8
/ ip маршрут
добавить расстояние = 1 шлюз = 207.174.237.1
/ tool база данных менеджеров пользователей
установить db-path = user-manager
Это потому что set use-ip-firewall=yes 'Принудительно обрабатывать мостовой трафик секциями IP-маршрутизации до, пересылки и постмаршрутизации' (Мост_Настройки)
Использование моста похоже на использование аппаратного коммутатора с 4 портами (isp-eth2-eth3-router) перед маршрутизатором. add action=accept chain=input dst-address=207.174.237.241 dst-port=25,80,443,995 in-interface=bridge1-Internet protocol=tcp - это правило разрешает TCP для маршрутизатора и не действует внутри моста.