.... se neuplatňuje filtr INPUT, ale uplatňuje se filtr FORWARD. Je to správně? Používám routerOS 3.9.
Chápal bych, že packet určen pro RDP dorazí na WAN rozhraní a uplatní se filtr INPUT, ale podle všeho se uplatňuje FORWARD (jakoby pro průchozí komunikaci).
Prosím Vás o vysvětlení.
Děkuji
Ahoj taky jsem rešil tento problem ... vysvětlení jsem našel na těchto strankach v sekci ke stažení - Základní seznámení s MK
http://www.ispforum.cz/files/mikrotik_seznameni.pdf
Vytaženo z výkladu :
Základní práce s paketovým firewallem
Mikrotik RouterOS disponuje pokročilým firewallem, který umožňuje pracovat s pakety
procházející směrovačem. Pravidla pro práci s pakety můžete nastavit v ip – firewall,
záložka Filter Rules.
Pravidla ve Filter Rules, jsou rozdělena do tří základních skupin, tzv. Filter Chains:
– pravidla aplikující se na pakety, které přichází některým rozhranním a končí
na směrovači. Mohou to být např. pingy, administrační pakety (WinBox, ssh) atd…
– pravidla pro pakety, které prochází směrovačem, na tyto pakety se
neuplatňují pravidla uvedené v Input či Output
– pravidla pro pakety, které vznikly na směrovači a odcházejí některým
rozhranním. Mohou to být odpovědi na pingy, komunikace s WinBoxem, ssh atd…
--------------------------------------------------------------------------------------------------------
Na vzdálenou plochu používáš směrování paketů z WAN "xxxx" portu na port 3389 do lokalní sítě tzn. přes maskaradu proto "forward" (pozor maskarada není podminkou pro forward), pakety prochází zjednoho rozhraní na druhé. V ramci daného segmentu to ale tak nefunguje, protože dané pakety neprochází směrovačem (neleze to z rozhraní do rozhraní). Neco jiného by bylo kdyby jsi měl např. ether1-WAN, ether2-LAN1 (rozsah 10.0.0.16/28), ether3-LAN2 (10.1.0.16/28). I když oba eternové porty mohou sloužit jako lokal za NAT, komunikace mezi nimi muze byt řízena firewallem, ja takto např. řeším blokovaní portu 139 a 445, aby dva rozsahy mezi sebou nesdileli data, funguje to.
