( debtamas88 | 2021. 01. 15., p – 13:11 )

Szerkesztve: 2021. 01. 15., p – 13:17

Mikrotik linux tűzfalat használ ( iptables ), ennek kell érteni a működését.
Azért engedi át, mert a "Filter" tábla "Forward" ága "Accept"-re van állítva, így minden írányba megy a forgalom ( Layer 3 ).

Ennek a kimenetét nézd meg:

/ip firewall filter print

 

https://manpages.debian.org/buster/iptables/iptables.8.en.html
https://netfilter.org/documentation/index.html
https://en.wikipedia.org/wiki/Reserved_IP_addresses

 

Itt egy kis segítség, én ezt a "Linux alapkonfigot" használom amit kibővítek,majd átírom Mikrotik féle "kódra".

Filter tábla

*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:]
#
-P INPUT DROP
-P FORWARD DROP
-P OUTPUT DROP
#
-A INPUT -i lo -j ACCEPT
#
#
#
# eth0: 192.168.1.1, LAN 192.168.1.0/24
#
-A INPUT -i eth0 -s 0.0.0.0/8 -j DROP
-A INPUT -i eth0 -s 10.0.0.0/8 -j DROP
-A INPUT -i eth0 -s 100.64.0.0/10 -j DROP
-A INPUT -i eth0 -s 127.0.0.0/8 -j DROP
-A INPUT -i eth0 -s 169.254.0.0/16 -j DROP
-A INPUT -i eth0 -s 172.16.0.0/12 -j DROP
##-A INPUT -i eth0 -s 192.168.0.0/16 -j DROP
#
-A INPUT -i eth0 -d 0.0.0.0/8 -j DROP
-A INPUT -i eth0 -d 10.0.0.0/8 -j DROP
-A INPUT -i eth0 -d 100.64.0.0/10 -j DROP
-A INPUT -i eth0 -d 127.0.0.0/8 -j DROP
-A INPUT -i eth0 -d 169.254.0.0/16 -j DROP
-A INPUT -i eth0 -d 172.16.0.0/12 -j DROP
##-A INPUT -i eth0 -d 192.168.0.0/16 -j DROP
#
## -A INPUT -i eth0 -j DROP
#
#
#
# eth1: WAN-ipv4: 5.5.5.5
#
-A INPUT -i eth1 -s 0.0.0.0/8 -j DROP
-A INPUT -i eth1 -s 10.0.0.0/8 -j DROP
-A INPUT -i eth1 -s 100.64.0.0/10 -j DROP
-A INPUT -i eth1 -s 127.0.0.0/8 -j DROP
-A INPUT -i eth1 -s 169.254.0.0/16 -j DROP
-A INPUT -i eth1 -s 172.16.0.0/12 -j DROP
-A INPUT -i eth1 -s 192.168.0.0/16 -j DROP
#
-A INPUT -i eth1 -d 0.0.0.0/8 -j DROP
-A INPUT -i eth1 -d 10.0.0.0/8 -j DROP
-A INPUT -i eth1 -d 100.64.0.0/10 -j DROP
-A INPUT -i eth1 -d 127.0.0.0/8 -j DROP
-A INPUT -i eth1 -d 169.254.0.0/16 -j DROP
-A INPUT -i eth1 -d 172.16.0.0/12 -j DROP
-A INPUT -i eth1 -d 192.168.0.0/16 -j DROP
#
## -A INPUT -i eth0 -j DROP
#
#
#
# SSH #
#
-A INPUT -i eth0 -d 5.5.5.5 -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
#
#
#
# Ping-t engedjük #
#
-A INPUT -p icmp --icmp-type 0 -j ACCEPT
-A INPUT -p icmp --icmp-type 8 -j ACCEPT
-A INPUT -p icmp -j DROP
#
#
#
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -j DROP
#
#
#
-A FORWARD -s 192.168.1.0/24 -j ACCEPT
-A FORWARD -d 192.168.1.0/24 -j ACCEPT
-A FORWARD -j DROP
#
#
#
-A OUTPUT -o lo -j ACCEPT
#
#
#
# eth0: 192.168.1.1, LAN 192.168.1.0/24
#
-A OUTPUT -o eth0 -s 0.0.0.0/8 -j DROP
-A OUTPUT -o eth0 -s 10.0.0.0/8 -j DROP
-A OUTPUT -o eth0 -s 100.64.0.0/10 -j DROP
-A OUTPUT -o eth0 -s 169.254.0.0/16 -j DROP
-A OUTPUT -o eth0 -s 172.16.0.0/12 -j DROP
-A OUTPUT -o eth0 -s 192.168.1.0/24 -j ACCEPT
-A OUTPUT -o eth0 -s 192.168.0.0/16 -j DROP
#
-A OUTPUT -o eth0 -d 0.0.0.0/8 -j DROP
-A OUTPUT -o eth0 -d 10.0.0.0/8 -j DROP
-A OUTPUT -o eth0 -d 100.64.0.0/10 -j DROP
-A OUTPUT -o eth0 -d 169.254.0.0/16 -j DROP
-A OUTPUT -o eth0 -d 172.16.0.0/12 -j DROP
-A OUTPUT -o eth0 -d 192.168.1.0/24 -j ACCEPT
-A OUTPUT -o eth0 -d 192.168.0.0/16 -j DROP
#
-A OUTPUT -o eth0 -j DROP
#
#
#
# eth1: WAN-ipv4: 5.5.5.5
#
-A OUTPUT -o eth1 -s 0.0.0.0/8 -j DROP
-A OUTPUT -o eth1 -s 10.0.0.0/8 -j DROP
-A OUTPUT -o eth1 -s 100.64.0.0/10 -j DROP
-A OUTPUT -o eth1 -s 169.254.0.0/16 -j DROP
-A OUTPUT -o eth1 -s 172.16.0.0/12 -j DROP
-A OUTPUT -o eth1 -s 192.168.0.0/16 -j DROP
-A OUTPUT -o eth1 -s 5.5.5.5 -j ACCEPT
#
-A OUTPUT -o eth1 -d 0.0.0.0/8 -j DROP
-A OUTPUT -o eth1 -d 10.0.0.0/8 -j DROP
-A OUTPUT -o eth1 -d 100.64.0.0/10 -j DROP
-A OUTPUT -o eth1 -d 169.254.0.0/16 -j DROP
-A OUTPUT -o eth1 -d 172.16.0.0/12 -j DROP
-A OUTPUT -o eth1 -d 192.168.0.0/16 -j DROP
-A OUTPUT -o eth1 -d 5.5.5.5 -j ACCEPT
#
-A OUTPUT -o eth0 -j DROP
#
#
#
-A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
-A OUTPUT -j drop

NAT tábla

*nat
:INPUT ACCEPT [0:0]
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
#
#
#
-P INPUT ACCEPT
-P PREROUTING ACCEPT
-P POSTROUTING ACCEPT
-P OUTPUT ACCEPT
#
#
#
-A POSTROUTING -o eth1 -s 192.168.1.0/24 -j MASQUERADE