Вопрос или проблема
Я не уверен, что действую правильным образом….
У меня есть 3 статических IP от моего провайдера, которые находятся в одной подсети с одним шлюзом. Один адрес используется для маршрутизатора (RB3011 – 6.43.8) на мосту, порты 1-3. Провайдер подключен к порту 1. Порты 2 и 3 предназначены для веб-сервера и почтового сервера. Локальная сеть находится на порту 5, а отдельная локальная сеть для моего рабочего места (оборудование клиента) находится на мосту с использованием портов 6-8.
Я не могу заставить работать правила фильтрации IP. Я хотел бы установить правила фильтрации, чтобы разрешить трафик только на назначенные порты веб-сервера и почтового сервера, блокируя все порты для подсетей локальной сети.
Что я делаю не так?
/interface bridge
add name=bridge1-Internet
add name=bridge2-WorkRoom
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/tool user-manager customer
set admin access=own-routers,own-users,own-profiles,own-limits,config-payment-gw
/interface bridge port
add bridge=bridge1-Internet interface=ether1
add bridge=bridge1-Internet interface=ether2
add bridge=bridge1-Internet interface=ether3
add bridge=bridge2-WorkRoom interface=ether6
add bridge=bridge2-WorkRoom interface=ether7
add bridge=bridge2-WorkRoom interface=ether8
/interface bridge settings
set use-ip-firewall=yes
/ip address
add address=10.10.99.5/24 interface=ether5 network=10.10.99.0
add address=10.10.97.1/25 interface=bridge2-WorkRoom network=10.10.97.0
add address=207.174.237.157/24 interface=bridge1-Internet network=207.174.237.0
/ip firewall filter
add action=accept chain=input connection-state=established,related\
in-interface=bridge1-Internet
add action=accept chain=input dst-address=207.174.237.241 dst-port=25,80,443,995\
in-interface=bridge1-Internet protocol=tcp
add action=accept chain=input in-interface=bridge1-Internet protocol=icmp
add action=drop chain=input in-interface=bridge1-Internet
/ip firewall nat
add action=masquerade chain=srcnat out-interface=bridge1-Internet
add action=dst-nat chain=dstnat dst-address=207.174.237.157\
dst-port=80 protocol=tcp to-addresses=10.10.99.8
/ip route
add distance=1 gateway=207.174.237.1
/tool user-manager database
set db-path=user-manager
Это связано с тем, что set use-ip-firewall=yes ‘Заставить обработанный трафик моста также обрабатываться в секциях предварительной маршрутизации, пересылки и постмаршрутизации IP’ (Настройки_моста)
Использование моста похоже на использование аппаратного коммутатора с 4 портами (isp-eth2-eth3-маршрутизатор) перед вашим маршрутизатором. add action=accept chain=input dst-address=207.174.237.241 dst-port=25,80,443,995 in-interface=bridge1-Internet protocol=tcp – это правило разрешает tcp для маршрутизатора и не оказывает никакого эффекта внутри моста.
Ответ или решение
Использование мостов (bridge) с WAN и DMZ на устройствах MikroTik может быть сложным, особенно когда речь идет о настройках сетевой безопасности и маршрутизации. На первый взгляд, структура вашей сети может показаться правильной, но из-за особенностей конфигурации вы не достигаете ожидаемых результатов, связанных с фильтрацией трафика. Давайте разберем эту ситуацию и рассмотрим необходимые шаги для ее решения.
Описание проблемы
У вас настроен мост для трех статических IP-адресов от вашего интернет-провайдера в одной подсети, с тем, что один из этих адресов используется самим роутером RB3011. Вы упомянули, что порты 2 и 3 подключены к веб-серверу и почтовому серверу соответственно, а порты 6-8 использованы для отдельной локальной сети. Однако у вас возникают проблемы с IP-фильтрацией, и вы не можете добиться блокировки трафика на определенные порты.
Анализ текущей конфигурации
На данный момент вы используете команду:
/interface bridge settings
set use-ip-firewall=yesЭто команда позволяет обрабатывать трафик в мосту так же, как и в IP-маршрутизации. Однако нужно помнить, что правила фильтрации (firewall filter rules) применимы ко всем интерфейсам, подключенным к мосту, а не к отдельным IP-адресам.
Правило:
add action=accept chain=input dst-address=207.174.237.241 dst-port=25,80,443,995 in-interface=bridge1-Internet protocol=tcpвызывает проблемы, поскольку фильтрует входящий трафик только для самого роутера, но не для устройств, подключенных к мосту.
Рекомендации по решению
Чтобы правильно настроить фильтрацию трафика и ограничить доступ к веб-серверу и почтовому серверу, выполните следующие шаги:
-
Создание отдельных фильтров для мостов:
Вам нужно создать правила, которые будут учитывать входящий и исходящий трафик для каждого сервера. -
Направление фильтрации на мост:
Убедитесь, что фильтрация применяется ко всем портам моста. Правила могут выглядеть следующим образом:/ip firewall filter add action=accept chain=forward dst-address=10.10.99.8 dst-port=80,443 protocol=tcp add action=accept chain=forward dst-address=10.10.99.8 dst-port=25 protocol=tcp add action=accept chain=forward dst-address=10.10.99.8 dst-port=995 protocol=tcp add action=drop chain=forward in-interface=bridge1-Internet -
Отображение измененных правил:
Обратите внимание, что правила, применяется к цепочкеforward, а неinput.inputпредназначен для фильтрации трафика, поступающего к роутеру, аforward– для фильтрации трафика между мостами или мостом и интерфейсом. -
Отладка правил NAT:
Убедитесь, что ваши уровни NAT корректно настроены, если веб-сервер или почтовый сервер доступны извне. Правило:add action=dst-nat chain=dstnat dst-address=207.174.237.157 dst-port=80 protocol=tcp to-addresses=10.10.99.8должно внимательно проверяться на предмет правильной маршрутизации.
Заключение
Используя мост для настройки WAN и DMZ на MikroTik, важно помнить, что фильтрация должна быть сосредоточена на цепочке forward, а не input. С учетом этих рекомендаций вы сможете более эффективно управлять доступом к ресурсам сети и защитить себя от нежелательного трафика. Не забывайте тестировать конфигурацию после внесения изменений, чтобы убедиться, что фильтры работают как надо.