Проброс порта для IIS

Тема в разделе "Вопросы начинающих", создана пользователем K05h3y, 18 май 2018.

  1. K05h3y

    K05h3y Новый участник

    Добрый день!
    Стоит задача пробросить WEB-интерфейс 1С наружу.
    Есть сервер на котором развёрнут Web-интерфейс 1С и есть Mikrotik.
    Проброс сделал и при тестировании открывается информационная база и можно в ней работать, но через какое-то время связь прерывается и минут 10-15 повторно зайти в базу данных невозможно, проверял и доступность IIS сервера, он тоже недоступен из вне.
    До этого был установлен шлюз под управлением ubuntu-server, проблем подобного рода не было.
    Подскажите, в какую сторону копать?

    Дополнительная информация:
    MikroTik RouterOS 6.41.3
    MikroTik 3011UiAS-RM
     
  2. Денис Друженков

    Денис Друженков Администратор Команда форума

    очень странно, сам микротик доступен в это время ?
    Из внутренний сети работает нормально ?
     
  3. K05h3y

    K05h3y Новый участник

    Добрый день!
    Сейчас, если не доступен ресурс из "внешки" подключаюсь по VPN, ввожу внутренний адрес сервера и всё работает. Сам микротик доступен из сети и прекрасно работает.
     
  4. Денис Друженков

    Денис Друженков Администратор Команда форума

    покажите правило публикации
     
  5. K05h3y

    K05h3y Новый участник

    /ip firewall nat
    add action=netmap chain=dstnat dst-port=53390 in-interface=ether1 log=yes \
    protocol=tcp to-addresses=192.168.1.102 to-ports=80
     
  6. Денис Друженков

    Денис Друженков Администратор Команда форума

    используйте dst-nat, но это не принципиально... шлюз какой на сервере ?
     
  7. K05h3y

    K05h3y Новый участник

    Служба технической поддержки посоветовала тоже самое , после изменения правила , вышеуказанных ошибок с подключением стало меньше, но они все равно присутствуют.
    Сам микротик является шлюзом , он и прописан в настройках сервера .
     
  8. Денис Друженков

    Денис Друженков Администратор Команда форума

    При таком странном поведении должны были еще посоветовать перезалить ROS NetInstall, если не поможет меняйте железо.
     
  9. Mook_34

    Mook_34 Участник

    Добрый день.
    Не подскажите а как закрыть порт 80 для 1с от сканирование из вне?
    Проброс сделал все работает .Но хотелось бы как то защититься от всяких хакеров ломакеров .Не подскажите как это сделать?
    Спасибо .
     
  10. alexei1977

    alexei1977 Участник

    ip firewall filter add chain=input protocol=tcp port=80 psd=21,3s,3,1 action=drop
     
  11. Mook_34

    Mook_34 Участник

    Спасибо ,буду пробовать
     
  12. alexei1977

    alexei1977 Участник

    Ещё мощнее так:
    ip firewall raw add chain=prerouting protocol=tcp port=80 psd=21,3s,3,1 action=drop
     
  13. Mook_34

    Mook_34 Участник

    Сейчас настроил .Тест делаю.
     
  14. Mook_34

    Mook_34 Участник

    НЕ помогло.Я узнал логи и пароль по порту 80 от 1с. Микротик да же не понял что произошло !
     
  15. alexei1977

    alexei1977 Участник

    Так было же сказано закрыть порт от сканирования, а не закрыть его вообще.
     
  16. Mook_34

    Mook_34 Участник

    Все правильно,закрыть от сканера.
    Я закрыл как вы сказали "
    ip firewall raw add chain=prerouting protocol=tcp port=80 psd=21,3s,3,1 action=drop " Потом стал сканировать и делать перебор паролей . Мне выдал логин и пароль .И мне нужно закрыться от вот таких вот хакеров .Возможно это?
     
  17. alexei1977

    alexei1977 Участник

    Возможно
     
  18. alexei1977

    alexei1977 Участник

    add chain=input protocol=tcp dst-port=80 src-address-list=blacklist action=drop disabled=no
    add chain=input protocol=tcp dst-port=80 connection-state=new src-address-list=stage3 action=add-src-to-address-list address-list=blacklist address-list-timeout=10d comment="" disabled=no
    add chain=input protocol=tcp dst-port=80 connection-state=new src-address-list=stage2 action=add-src-to-address-list address-list=stage3 address-list-timeout=1m comment="" disabled=no
    add chain=input protocol=tcp dst-port=80 connection-state=new src-address-list=stage1 action=add-src-to-address-list address-list=stage2 address-list-timeout=1m comment="" disabled=no
    add chain=input protocol=tcp dst-port=80 connection-state=new action=add-src-to-address-list address-list=stage1 address-list-timeout=1m comment="" disabled=no

    На 3-й раз отшибёт на 10 дней

    Это называется защита не от сканирования, а от брутфорса
     
    Последнее редактирование: 9 авг 2018
  19. Mook_34

    Mook_34 Участник

    Сейчас попробую.
    А что значить stage1,2,3?
     
  20. alexei1977

    alexei1977 Участник

    Можно так:

    add action=jump chain=forward connection-state=new dst-port=80 jump-target=check-bruteforce protocol=tcp
    add action=drop chain=forward comment=Drop-Bruteforcers connection-state=new src-address-list=bruteforcer
    add action=add-src-to-address-list address-list=bruteforcer address-list-timeout=10d chain=check-bruteforce src-address-list=bruteforce-stage-3
    add action=add-src-to-address-list address-list=bruteforce-stage-3 address-list-timeout=1m chain=check-bruteforce src-address-list=bruteforce-stage-2
    add action=add-src-to-address-list address-list=bruteforce-stage-2 address-list-timeout=1m chain=check-bruteforce src-address-list=bruteforce-stage-1
    add action=add-src-to-address-list address-list=bruteforce-stage-1 address-list-timeout=1m chain=check-bruteforce