firewall POMOC

[waski96]

Witam wszystkich mam taki problem
che zablokować całkowicie dostęp do MT

1 dostęp ma być z wybranych adresów ip do niego
2 z sieci LAN ma być przepuszczony ruch tylko do tego co ja chcę reszta wycięte


jak daje forward i drop blokuje mi wszystko
potem jak daje forward accept z wybranymi ortami to nie działa

jak to uczynić

[waski96]

ok poradziłem mniej więcej na problem Nat rozgryzłem ale pojawił się problem z filter rules

/ip firewall filter
add chain=input comment=winbox disabled=yes dst-port=8291 in-interface=ether3 protocol=tcp
add chain=input disabled=yes protocol=icmp
add action=drop chain=input disabled=yes
add chain=output disabled=yes protocol=icmp
add chain=output disabled=yes dst-address=172.19.17.227 src-address=172.19.17.226
add action=drop chain=output disabled=yes
add chain=forward disabled=yes dst-address=10.133.1.19 in-interface=ether3 protocol=icmp src-address=172.19.17.227
add chain=forward disabled=yes dst-address=79.96.64.226 dst-port=80 in-interface=ether3 protocol=tcp src-address=172.19.0.0/16
add chain=forward disabled=yes dst-address=79.96.103.118 in-interface=ether3 protocol=tcp src-address=172.19.0.0/16
add chain=forward disabled=yes dst-address=213.218.121.45 dst-port=1747-1749 in-interface=ether3 protocol=tcp src-address=172.19.0.0/16
add chain=forward disabled=yes dst-address=213.218.121.45 dst-port=1747-1749 in-interface=ether3 protocol=udp src-address=172.19.0.0/16
add chain=forward disabled=yes in-interface=ether3 src-address=192.168.99.0
add chain=forward disabled=yes dst-address=82.210.186.103 dst-port=5433 in-interface=ether3 protocol=tcp src-address=172.19.0.0
add chain=forward disabled=yes dst-address=10.133.3.119 in-interface=ether3 src-address=172.19.0.0
add chain=forward disabled=yes in-interface=ether3 protocol=icmp src-address=172.19.0.0
add chain=forward disabled=yes dst-address=10.140.12.0-0.0.0.255 in-interface=ether3 src-address=172.19.0.0-0.0.63.255
add chain=forward disabled=yes dst-address=193.9.121.18 in-interface=ether3 src-address=172.19.0.0-0.0.63.255
add chain=forward disabled=yes dst-address=193.9.121.29 in-interface=ether3 src-address=172.19.0.0-0.0.63.255
add chain=forward disabled=yes dst-address=172.19.0.0-0.0.63.255 in-interface=ether3 protocol=icmp src-address=172.19.0.0-0.0.63.255
add action=drop chain=forward disabled=yes in-interface=ether3


moje pytanie brzmi następująco


czy chain na chodzą na siebie jak to wo gule działa bo nie mogę tego ogarnąć

input to co wchodzi z sieci lan
forward - to co przechodzi przez ruter
output - to co dochodzi do rutera

idzie to jakoś odseparować ?

[piotrek2555]

https://sekurak.pl/tag/mikrotik/ poczytaj to:

https://wiki.mikrotik.com/wiki/Manual:I ... all/Filter

https://pl.wikibooks.org/wiki/Sieci_w_L ... r/iptables