Trzepak.pl
https://trzepak.pl/

Mikrotik reguły firewall przy site-to-site i client-to-site
https://trzepak.pl/viewtopic.php?f=26&t=57563
Strona 1 z 1

Autor:  Robinson007 [ sob, 06 sty 2018 12:39:16 ]
Tytuł:  Mikrotik reguły firewall przy site-to-site i client-to-site

Witam,
mam skonfigurowany tunel site-to-site pomiędzy centralą a filią na Mikrotikach oraz ja łączę się do obu miejsc poprzez client-to-site 2TP+IPSEC.
Filia łączy się do centrali korzystając z RDP i z przeniesionych w sesji drukarek. Użytkownicy w centrali i w filii mają mieć dostęp do internetu, poniżej wklejam reguły firewall analogiczne dla centrali i filii. Prosiłbym o pomoc w zabezpieczeniu obu sieci chciałbym to zrobić na zasadzie wpuszczenia tego co trzeba a resztę wyciąć.

Kod:
/ip firewall filter
add action=accept chain=input comment="akceptuj WinBox z zewnatrz" dst-port=\ 8291 in-interface="ether1 WAN" protocol=tcp - tutaj oczywiście nie koniecznie bo mogę wejść na Winboxa lokalnie po podłączeniu się przez VNP client-to-site
add chain=input in-interface="ether1 WAN" src-address=xx.xx.xx.xx - tutaj adres filii i analogicznie adres centrali w ruterze filii
add action=accept chain=input comment="akceptuj L2TP" dst-port=1701 \ in-interface="ether1 WAN" protocol=udp
add action=accept chain=input comment="akceptuj IPsec" dst-port=500 \ in-interface="ether1 WAN" protocol=udp
add action=accept chain=input comment="akceptuj IP sec VPN" dst-port=4500 \ in-interface="ether1 WAN" protocol=udp
add action=accept chain=input comment="defconf: accept ICMP" in-interface=\ "ether1 WAN" protocol=icmp
add action=accept chain=input comment="defconf: accept established,related" \
connection-state=established,related in-interface="ether1 WAN"
add action=accept chain=forward comment="defconf: accept established,related" \
connection-state=established,related in-interface="ether1 WAN"
add action=drop chain=input comment="defconf: drop all from WAN" \
in-interface="ether1 WAN"
add action=drop chain=forward comment="defconf: drop invalid" \
connection-state=invalid in-interface="ether1 WAN"
add action=drop chain=forward comment=\
"defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
connection-state=new in-interface="ether1 WAN"
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" \
out-interface="ether1 WAN"


Nie mam doświadczenia w regułach.
Z góry dziękuję za pomoc.

Strona 1 z 1 Strefa czasowa UTC+02:00
Powered by phpBB® Forum Software © phpBB Limited
https://www.phpbb.com/