Почему я смог подключится к Микротику?

Базовая функциональность RouterOS
Ответить
Аватара пользователя
sasha300
Сообщения: 96
Зарегистрирован: 03 мар 2016, 16:00
Откуда: Санкт-Петербург

Почему я смог подключится к Микротику?

Сообщение sasha300 » 04 мар 2019, 23:07

Добрый вечер!
Настроил на работе Микротик, из дома, т.е. с домашнего внешнего ip попытался подключиться к рабочему тику и что бы вы думали? Каким-то образом я подрубился!!
Собственно вопрос, как такое могло произойти?
Вот конфиг ната и фаервола:

Код: Выделить всё

/ip firewall filter
add action=drop chain=input comment="Drop invalid connections" connection-state=invalid
add action=drop chain=forward connection-state=invalid
add action=accept chain=forward comment="Home all tcp" in-interface=ether1-External protocol=tcp src-address=домашний_ip
add action=accept chain=input in-interface=ether1-External protocol=tcp src-address=домашний_ip
add action=accept chain=input comment="Accept established and related connection" connection-state=established,related
add action=accept chain=forward connection-state=established,related
add action=accept chain=forward comment="Access to internet from local network" src-address=192.168.2.0/24
add action=accept chain=input comment="Access to Mikrotik only from local network" src-address=192.168.0.0/24
add action=accept chain=input src-address=192.168.2.0/24
add action=drop chain=input comment="All other drop"
add action=drop chain=forward
/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1-External
Я бы понял, если бы в нате было правило:

Код: Выделить всё

add action=netmap chain=dstnat dst-port=8291 in-interface=ether1-Externa1 protocol=tcp to-addresses=192.168.2.1 to-ports=8291
Т.е. подключаюсь из вне на порт 8291 и он пробрасывается по адресу Микотика 192.168.2.1 на порт 8291, но тут только правило маскарадинга для получения инета в локальной сети!
p.s.: кстати в IP Service List включен winbox на порту 8291, может в этом дело?
2019-03-04_230054.png
2019-03-04_230054.png (5.31 КБ) 305 просмотров

Аватара пользователя
Chupaka
Сообщения: 1800
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Почему я смог подключится к Микротику?

Сообщение Chupaka » 04 мар 2019, 23:10

Добрый.

"add action=accept chain=input in-interface=ether1-External protocol=tcp src-address=домашний_ip" - это правило разрешает подключение к роутеру с вашего домашнего IP. Вроде всё правильно работает :)

Аватара пользователя
sasha300
Сообщения: 96
Зарегистрирован: 03 мар 2016, 16:00
Откуда: Санкт-Петербург

Re: Почему я смог подключится к Микротику?

Сообщение sasha300 » 04 мар 2019, 23:34

Chupaka писал(а):
04 мар 2019, 23:10
Вроде всё правильно работает :)
Спасибо за наводку. Тогда может быть лучше так:

Код: Выделить всё

add action=accept chain=input src-address=домашний_ip
т.е. не указывать протокол и wan.
Кстати, попробовал прописать вышеописанный код и опять нормально подключился. Тогда зачем это указывать?
Как говорится: зачем прописывать дополнительные параметры, когда и так все работает :lol:

Аватара пользователя
Chupaka
Сообщения: 1800
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Почему я смог подключится к Микротику?

Сообщение Chupaka » 04 мар 2019, 23:38

Ну, зачем указывать — это лучше у вас спросить :) Вы же указывали.

В целом, перед тем, как обсуждать средства, неплохо бы сформулировать цели.

Аватара пользователя
sasha300
Сообщения: 96
Зарегистрирован: 03 мар 2016, 16:00
Откуда: Санкт-Петербург

Re: Почему я смог подключится к Микротику?

Сообщение sasha300 » 04 мар 2019, 23:45

Chupaka писал(а):
04 мар 2019, 23:38
В целом, перед тем, как обсуждать средства, неплохо бы сформулировать цели.
Ну цель этого правила была одна - чтобы я мог коннектиться из дома. Правда часть настроек я скопировал с другого уже нормально настроенного тика, а там конфиг я настраивал по манам более 2-х лет назад и черт разберет, зачем мне потребовалось указывать протокол и внешний интерфейс..
Вобщем в итоге разобрался =) Спасибо за наводки!

Ответить