Firewall
MikroTik - 無法從外部訪問 webfig / 無法從外部 ip SSH 進入路由器
行,
這是交易。
假設我面向公眾的 IP 是 10.0.01。我無法從外部 webfig 進入 10.0.01,也無法從外部 IP SSH 進入 mikrotik 路由器。
如果我物理連接到路由器(在同一個區域網路上),我可以做到這一點。它允許我使用 10.0.0.1 或使用 192.168.88.1 來進行 webfig 和 SSH。
但是,如果我在不同的 LAN 上,則無法連接。
順便說一句,我將 webfig 的 IP > 服務 > 埠設置為 64291,SSH 設置為 23。
這是我的防火牆規則和 NAT。
規則
0 ;;; ALLOW ALL TO LAN chain=input action=accept connection-state=established,related,new in-interface=bridge-local log=no log-prefix="" 1 ;;; ALLOW ICMP (Ping) ON ALL chain=input action=accept protocol=icmp log=no log-prefix="" 2 ;;; Drop Everything Else chain=input action=drop log=no log-prefix="" 3 ;;; default configuration chain=input action=drop in-interface=ether1-gateway log=no log-prefix="" 4 ;;; default configuration chain=forward action=accept connection-state=established,related,new in-interface=bridge-local log=no log-prefix="" 5 ;;; default configuration chain=forward action=drop connection-state=invalid log=no log-prefix="" 6 ;;; default configuration chain=forward action=drop connection-state=new connection-nat-state=!dstnat in-interface=ether1-gateway log=no log-prefix=""
NAT
0 ;;; default configuration chain=srcnat action=masquerade to-addresses=X.X.X.X out-interface=ether1-gateway log=no log-prefix="" 1 chain=dstnat action=dst-nat to-addresses=192.168.88.200 protocol=tcp dst-address=X.X.X.X dst-port=80 log=no log-prefix="" 2 chain=srcnat action=src-nat to-addresses=X.X.X.X protocol=tcp src-address=192.168.88.0/24 log=no log-prefix="" 3 chain=dstnat action=dst-nat to-addresses=192.168.88.200 to-ports=22 protocol=tcp dst-address=X.X.X.X dst-port=22 log=no log-prefix="" 4 chain=srcnat action=src-nat to-addresses=192.168.88.200 to-ports=22 protocol=tcp src-address=192.168.88.0/24 log=no log-prefix="" 5 chain=dstnat action=dst-nat to-addresses=192.168.88.1 protocol=tcp dst-address=X.X.X.X dst-port=23 log=no log-prefix=""
禁用規則#2 + #3 並再次測試。或者您可以為您的 ssh+www 埠設置一個例外
您正在丟棄來自 ether1-gateway 的所有流量**。**
規則 #2 + #3 實際上是相同的。我建議你刪除#2
更新回复
製作安全路由器並不是更改埠的最佳實踐,從而產生虛假的安全感。然而,這是一個簡單的實現。
如何保護打開/重定向埠
/ip firewall filter add chain=input dst-port=22,80,443 in-interface=ether1-gateway protocol=tcp /ip firewall filter add action=drop chain=input in-interface=ether1-gateway
PD:ether1-gateway 是 WAN 埠,dst-port 是您希望保持打開狀態的埠。將這些過濾器移動到您的 Mikrotik 的 #2 號和 #3 號,並保留此順序!
然後,保護您的密碼 + 連接並對您的失敗/暴力嘗試連接進行主動分析控制:
- 在linux系統中使用fail-to-ban,或反暴力攻擊腳本->暴力登錄預防
- 使用長密碼,大寫+小寫與數字混合
- 使用安全連接,例如 http s s sh 或 telnet 或 http