zamezení přístupu "wan" portem do mikrotiku

marekjanu

Ahoj,

mám veřejnou IP uloženou v MT. Pokud ji zadám kdekoli v internetu nebo u ji zadá můj ISP, dostane se na stránku určenou pro přihlášení do mého RB + ke všem grafům. Jak zamezit tomu, aby se tato stránka dala otevřít, respektive aby byl jakýkoli přístup na MT z internetu zakázaný?

maxik

fajrec - zakaz si input/output s "out interface wan" , popripade zakaz je to co nechces aby bylo dostupne - nezapomen na konec udelat drop pravidla ktera to co neakceptujes zahodi.

marekjanu

fajrec - zakaz si input/output s "out interface wan" , popripade zakaz je to co nechces aby bylo dostupne - nezapomen na konec udelat drop pravidla ktera to co neakceptujes zahodi.

Oka, děkuji, mohl by ses prosím trochu rezepsat. Nevím, kde to mám hledat.

maxik

mrkni se ke me na demo (maxik v sekci dema) a vyber si z meho firewallu co potrebujes.

marekjanu

teda nevím jestli stačí jen ten jeden řádek ve firewallu

maxik

pokud nema ten router byt dostupny z netu tak staci input WAN akce Drop

marekjanu

pokud nema ten router byt dostupny z netu tak staci input WAN akce Drop

hapi

a nebo stačilo upravit ve službách aby byla vidět jenom na vnitřní adrese

travel21

/ ip service

________ port_____available From

www____ 4850______ 0.0.0.0/0

------------------------------------------------------------------------------------------

/ ip firewall filter-rules

Action____Chain____Src. Address____In. Interface____Dst. port____Protocol

accept____input____89.155.240.5____ether1(wan)____4850________6 (tcp)

accept____input____195.132.50.5____ether1(wan)____4850________6 (tcp)

...

drop____input___________________________________4850________6 (tcp)

-------------------------------------------------------------------------------------------

* ether1 - musí být WAN (ale to je asi jasne)

např. takto se dá udělat to aby www nenaslouchal na 80 portu ale treba na 4850 nebo jinem, tohle uz mene zdatné odradí. Ma to tu výhodu, že takto muzes sledovat www tveho MK jen z povolených IP adress viz. filter-rules,coz treba ja vyuzívam abych mohl sledovat trafik klientu bez použití sběru dat da se to nastavit treba na 5 IP a zbytek -drop-, pokud ti staci sledovat jen z jedné pak nemusis delat filter-rules ale zrovna do /ip services zamenis 0.0.0.0/0 na tu tvou konkretní IP ze které jen ty budes sledovat trafic. Pokud jsi ale v subnetu ISP pak musis zadat IP poslední GW tím ale otevres www mikrotiku pro vsechny co lezou ven pres tu danou GW, to uz neni tak efektivní.. Mam to takhle a funguje to perfektne ...

Pravidla -drop- musi být az po pravidlech accept !!!

Tak snad to takto staci ...