Firewall

使用 MikroTik Bridge 作為公共託管伺服器的公共 IP 防火牆

  • December 17, 2013

我們想要這樣做:

Internet<->MikroTik 在橋接模式下使用防火牆過濾器<->託管伺服器

  1. 主要目標是允許從外部進入 RDP 和 FTP,但從外部阻止其他所有內容。從內部一切都必須出去。
  2. 我們遇到的問題是我們添加了這些規則並阻止外部到內部工作,但現在託管伺服器無法訪問外部任何內容。從外部返回的 TCP/IP 不是 3389 或 80 埠,而是隨機的。

/介面橋過濾器> pr

標誌:X - 禁用,I - 無效,D - 動態 0 ;;; 接受 PING 鏈的 ICMP=轉發操作=接受 mac-protocol=ip dst-address=196.xxx/32 ip-protocol=icmp

1;;; 接受 FTP 傳輸埠鏈=轉發操作=接受 mac-protocol=ip dst-address=196.xxx/32 dst-port=20 ip-protocol=tcp

2;;; 接受 FTP 控制埠鏈=轉發操作=接受 mac-protocol=ip dst-address=196.xxx/32 dst-port=21 ip-protocol=tcp

3;;; 接受 RDP 鏈=轉發操作=接受 mac-protocol=ip dst-address=196.xxx/32 dst-port=3389 ip-protocol=tcp

4;;; 記錄所有即將被丟棄的東西 chain=forward action=log mac-protocol=ip dst-address=196.xxx/32 ip-protocol=tcp log-prefix=“firewall_drop”

5;;; 丟棄一切鏈=轉發動作=丟棄 mac-protocol=ip dst-address=196.xxx/32 ip-protocol=tcp

僅供參考,網橋設置為使用防火牆並且連接跟踪已打開。

我建議為您的伺服器使用本地 IP 子網,並在 mikrotik(路由器)和伺服器之間使用專用 LAN。也有 mikrotik 直接在公共 ip 上。然後為傳出流量(從伺服器到網際網路)執行 ip src-nat。所有傳入流量都應進行埠轉發(dst-nat)。您也可以使用普通的 layer3 ip 防火牆並為 layer2 / 橋接網路禁用 layer3 防火牆。

這與連接跟踪有關,但我不知道它在網橋中是如何工作的。我只想添加另一條規則,以允許使用 src-address 或介面從內部進行所有操作:

add chain=forward action=accept mac-protocol=ip src-address=196.x.x.x/32 ip-protocol=tcp place-before=4 

引用自:https://serverfault.com/questions/359543