Имеется следующая сеть: Свич (простейший, неуправляемый), в который заходит кабель провайдера, из которого идут 2 кабеля в телефонные шлюзы (настройка IP на стороне шлюзов), и 1 кабель в сервер (по сути шлюз), в сервере стоит вторая сетевая карта, которая смотрит в локалку. Раздача интернета, DHCP – посредством Kerio. На сетевой сервера на входящей прописано 11.11.11.002 (здесь и далее вымышленные цифры, чтобы их определять потом), маска 255.255.255.248, gateway 11.11.11.001, прописаны гугловские днс. В локалку смотрит сетевая карта с 192.168.0.1, через которую раздается инет и DHCP. Полученный по DHCP адрес клиента имеет вид 192.168.0.10, маска 255.255.255.0, шлюз по умолчанию 192.168.0.1, днс сервер 192.168.0.1. Хотел все это дело переделать, избавиться от компа-шлюза. Оборудование: Mikrotik RouterBOARD 2011UiAS-RM Свич HPE 1920-48G Хотел сделать так: В 1 порт на Микротике заходит кабель провайдера. Из 2 порта идет кабель в свич и раздает всем инет по DHCP (статика и аренда) Из 3 порта идет кабель в один шлюз с адресом 11.11.11.003 Из 4 порта идет кабель в другой шлюз с адресом 11.11.11.004 При этом 002, 003, 004 не надо объединять в единую локальную сеть. На шлюзы можно через Web зайти по прямому IP. По руководствам в инете пытался такое сделать – но ничего не получилось. Подскажите по шагам как такое сделать (если возможно). Параметры локалки: Микротик будет с адресом 192.168.11.1 DHCP раздает 192.168.11.2 - 192.168.11.100 ДНС для локальных компов – Микротик - 192.168.11.1 Пока что вижу только такой вариант: Купить еще один свич (поновее, неуправляемый). В него заходит кабель от провайдера, из него 1 кабель идет в Микротик и там прописываю данные прова – 11.11.11.002, маска 255.255.255.248, gateway 11.11.11.001, гугловские днс, а на другом порте прописываю локалку 192.168.11.ХХ и раздаю инет на клиенты. 2 кабеля в телефонные шлюзы – соответственно прописывать ничего не надо на шлюзах, все прописано. И по сути получается то же самое, что и сейчас, только вместо компа-шлюза будет Микротик. Но хотелось бы реализовать все это посредством самого Микротика.
Как мне кажется нет смысла на 2011 пихать провайдера в 1 порт. Я бы его пихнул в 6-10 так как они 100 мбит. Делаем 1. Сброс конфиги 2. Создаем 2 свитча для портов 2-5 говорим master-port=ether1, для портов 7-10 говорим master-port=ether6 3. Провайдера втыкаем в любой порт 6-10. Туда же втыкаем шлюзы. 4. Назначаем адрес на порт ether6 (видимо адрес от сервера) 7. Добавляем маршрут по умолчанию /ip route add gateway=XX.XX.XX.XX 8. Назначаем адрес LAN на ether1 (192.168.11.1/24) 8. Настраиваем файрвол и NAT Код: /ip firewall filter add chain=input connection-state=established,related action=accept add chain=input protocol=icmp action=accept add chain=input in-interface=ether6 action=drop add chain=forward connection-state=invalid action=drop add chain=forward in-interface=ether6 connection-state=new connection-nat-state=!dst-nat action=drop /ip firewall nat add chain=srcnat out-interface=ether6 action=masquerade Открываем /ip dhcp-server (если нужен) и давим [dhcp setup] выбираем интерфейс ether1 В принципе в базе все.
Bridge-WAN - порты 6,7,8 В 7,8 - шлюзы под телефоны. Самому бриджу присвоен адрес от провайдера. LAN - 1 интерфейс, локальная сеть с раздачей DHCP 192.168.111.0/24 адрес самого Микротика 192.168.111.1 Телефоны звонят, интернет есть. Теперь по правилам Firewall. Из локалки нужна почта, интернет, sip телефония от Манго, аськи, скайпы, ничего особо не ограничиваю. Также нужны торренты (редко) на некоторых клиентах, и желательно заблокировать сканеры портов (ибо сканят рабочий IP периодически). Как правильно и в каком месте прописать проброс портов торрента (пусть будет порт 37954) на машины 192.168.111.11 и 192.168.111.15, и что прописать для блокировки сканеров портов? В остальном вроде бы такого списка правил должно хватить под необходимые нужды? /ip firewall filter # INPUT add chain=input connection-state=invalid action=drop comment="drop invalid connections" add chain=input connection-state=related action=accept comment="allow related connections" add chain=input connection-state=established action=accept comment="allow established connections" # EXT INPUT - разрешаем удаленное подключение Winbox add chain=input protocol=tcp dst-port=8291 action=accept in-interface=Bridge-WAN comment="allow remote Winbox" # Block DNS querry add action=drop chain=input comment="Drop DNS" dst-port=53 in-interface=Bridge-WAN protocol=udp add action=drop chain=input dst-port=53 in-interface=Bridge-WAN protocol=tcp # local input add chain=input src-address=192.168.111.0/24 action=accept in-interface=!Bridge-WAN # drop all other input add chain=input action=drop comment="drop everything else" # OUTPUT add chain=output action=accept out-interface=Bridge-WAN comment="accept everything to internet" add chain=output action=accept out-interface=!Bridge-WAN comment="accept everything to non internet" add chain=output action=accept comment="accept everything" # FORWARD add chain=forward connection-state=invalid action=drop comment="drop invalid connections" add chain=forward connection-state=established action=accept comment="allow already established connections" add chain=forward connection-state=related action=accept comment="allow related connections" add chain=forward src-address=0.0.0.0/8 action=drop add chain=forward dst-address=0.0.0.0/8 action=drop add chain=forward src-address=127.0.0.0/8 action=drop add chain=forward dst-address=127.0.0.0/8 action=drop add chain=forward src-address=224.0.0.0/3 action=drop add chain=forward dst-address=224.0.0.0/3 action=drop # (1) jumping add chain=forward protocol=tcp action=jump jump-target=tcp add chain=forward protocol=udp action=jump jump-target=udp add chain=forward protocol=icmp action=jump jump-target=icmp # (3) accept forward from local to internet add chain=forward action=accept in-interface=!Bridge-WAN out-interface=Bridge-WAN comment="accept from local to internet" # (4) drop all other forward add chain=forward action=drop comment="drop everything else" # (2) deny some types common types add chain=tcp protocol=tcp dst-port=69 action=drop comment="deny TFTP" add chain=tcp protocol=tcp dst-port=111 action=drop comment="deny RPC portmapper" add chain=tcp protocol=tcp dst-port=135 action=drop comment="deny RPC portmapper" add chain=tcp protocol=tcp dst-port=137-139 action=drop comment="deny NBT" add chain=tcp protocol=tcp dst-port=445 action=drop comment="deny cifs" add chain=tcp protocol=tcp dst-port=2049 action=drop comment="deny NFS" add chain=tcp protocol=tcp dst-port=12345-12346 action=drop comment="deny NetBus" add chain=tcp protocol=tcp dst-port=20034 action=drop comment="deny NetBus" add chain=tcp protocol=tcp dst-port=3133 action=drop comment="deny BackOriffice" add chain=tcp protocol=tcp dst-port=67-68 action=drop comment="deny DHCP" add chain=udp protocol=udp dst-port=69 action=drop comment="deny TFTP" add chain=udp protocol=udp dst-port=111 action=drop comment="deny PRC portmapper" add chain=udp protocol=udp dst-port=135 action=drop comment="deny PRC portmapper" add chain=udp protocol=udp dst-port=137-139 action=drop comment="deny NBT" add chain=udp protocol=udp dst-port=2049 action=drop comment="deny NFS" add chain=udp protocol=udp dst-port=3133 action=drop comment="deny BackOriffice" add chain=icmp protocol=icmp icmp-options=0:0 action=accept comment="echo reply" add chain=icmp protocol=icmp icmp-options=3:0 action=accept comment="net unreachable" add chain=icmp protocol=icmp icmp-options=3:1 action=accept comment="host unreachable" add chain=icmp protocol=icmp icmp-options=3:4 action=accept comment="host unreachable fragmentation required" add chain=icmp protocol=icmp icmp-options=4:0 action=accept comment="allow source quench" add chain=icmp protocol=icmp icmp-options=8:0 action=accept comment="allow echo request" add chain=icmp protocol=icmp icmp-options=11:0 action=accept comment="allow time exceed" add chain=icmp protocol=icmp icmp-options=12:0 action=accept comment="allow parameter bad" add chain=icmp action=drop comment="deny all other types" # (5) drop all other forward add chain=forward action=drop comment="drop (2) everything else"
Слишком наворотили. Логика файрвола может быть сильно упрощена. 1. Грохаем все на input c wan интерфейса (ов) 2. В форвард снаружи пакет никак попасть не может кроме как через NAT. 3. Output можно не трогать, т.к. это трафик самого роутера. И приходим к стандартному файрволу. Код: /ip firewall filter #Разрешаем уже установленные соединения (т.е. те, что попросил сам роутер, например ответы на DNS add action=accept chain=input connection-state=established,related #Разрешаем ICMP, ибо это не только Ping, но и например Path MTU Discovery add action=accept chain=input protocol=icmp #Разрешаем себе Winbox снаружи add action=accept chain=input dst-port=8291protocol=tcp #Все остальное с WAN-интерфеса нам не надо add action=drop chain=input in-interface=WAN #Поехал Forward #Если пакет в Forward идет снаружи и не прошел NAT, то дело нечисто )) add action=drop chain=forward connection-nat-state=!dstnat connection-state=new in-interface=WAN #Грохаем Invalid add action=drop chain=forward connection-state=invalid #Если нам не нужны очереди и IPSec, то почему бы и не ускорить работу. add action=fasttrack-connection chain=forward connection-state=established В принципе этого достаточно.
Но все что надо - будет? Закрытый сканер портов, сиптелефония, хождение с локалки куда хотят, торенты?
