Достъп до рутер

[filipov]

 
[admin@MikroTik] /ip firewall filter> print 
Flags: X - disabled, I - invalid, D - dynamic 
 0    ;;; default configuration
      chain=input action=accept protocol=icmp log=no log-prefix="" 
 
 1    ;;; default configuration
      chain=input action=accept connection-state=established,related log=no log-prefix="" 
 
 2    ;;; default configuration
      chain=input action=drop in-interface=ether1-gateway log=no log-prefix="" 
 
 3    ;;; default configuration
      chain=forward action=accept connection-state=established,related log=no log-prefix="" 
 
 4    ;;; default configuration
      chain=forward action=drop connection-state=invalid log=no log-prefix="" 
 
 5    ;;; default configuration
      chain=forward action=drop connection-state=new connection-nat-state=!dstnat 
      in-interface=ether1-gateway log=no log-prefix=""

Ako правило 2 е активно, не мога да достъпвам рутера от външна мрежа, нито през Winbox, нито по http. Притеснявам се да го спра, понеже е от дефолтната конфигурация на рутера.  Какво да направя за да мога да имам достъп от друга мрежа?

[Mupo neTkoB]

Колега, айде сега да не чакаме на готово и малко да помислим върху правилата ти във защитната стена.

надявам се правим разлика м/у думичките accept и drop.  Ако не е така то първата значи приемам, а втората отхвърлям.

следователно правило 0 приема всички протоколи=icmp (или с други още по прости думи icmp=пинг)

правило 1 приема всички вече осъществени връзки

правило 2 ОТХВЪРЛЯ всички заявки които идват от in-interface=ether1-gateway. т,е със още про прости думи забранява външни конекции.

след като прочетеш тези 5 мой реда, нека помислим как може да се справим с "проблема". веднага се сещам за 2 варианта, но ти и един да се сетиш ще си решиш проблема

[filipov]

Преместих правило 2 което е drop да бъде най-отдолу т.е. последно и мога да достъпвам рутера от външна мрежа. Не съм убеден, обаче, че това е правилният начин.

Редактирано 13 Май, 2015 от filipov

[111111]

има логика и то елементарна като да си влезнеш у вас 
първо има заключена врата т.е. неможе да влезнеш
второ има ключалка а носиш ли си ключа

трето имаш ключ но той ли е 

обаче ако има глобално правило т.е. има заключен врата на входа 

дори и предходните условия да са изпълнени няма как да минеш преди да влезнеш във входа

[filipov]

на теория го знам, но на практика, не съм сигурен дали е така. За това подписа на Миро е 101% верен, не само за мен

Благодаря и на двама ви

[stanstanyov]

Първо, колега, като начало е добре да си разглеждаш правилата по вериги, в случая - input. Това e веригата която отговаря за конекциите КЪМ рутера, forward отговаря за конекциите ПРЕЗ рутера. С други думи избери само input и работи там.

После си създай правило с accept, само за теб, тоест за IP-адреса, от който ще го достъпваш. Да е достъпен отвсякъде не е добра идея. Ако ще влизаш от различни адреси, разреши само SSH и то на някой друг порт, не 22.

Най-долу винаги е drop - спира всичко, което не искаш да ти влиза в рутера. По-натам сигурно ще искаш да добавиш и още разрешителни правила, например за DNS, NTP или нещо друго. Тях също ще качиш НАД drop, защото след него са безпредметни.

Така действат веригите на firewall-а, по реда на номерата. Всяко следващо правило работи с това, което е останало от предните.

 

Същото важи и за другите вериги, например forward, където вероятно ще добавиш много правила с времето и трябва да си особено внимателен, защото това ти е трафика през рутера. Едно правило drop, неумело качено нагоре, може да ти блокира целия трафик.

[filipov]

stanstanyov - Благодаря за хубавото разяснение