Mikrotik port forward

Hálózatok általános

Sziasztok!

Tud valaki segíteni? Mikrotik webfig 6.28-ban próbálok egy sima port forwardot csinálni.

admin@MikroTik] /ip firewall nat> print
Flags: X - disabled, I - invalid, D - dynamic
0 ;;; default configuration
chain=srcnat action=masquerade out-interface=pppoe-out1 log=no
log-prefix=""

1 chain=dstnat action=dst-nat to-addresses=192.168.1.2 to-ports=5900
protocol=tcp dst-address=0.0.0.0 in-interface=pppoe-out1
dst-port=5900 log=no log-prefix=""

admin@MikroTik] /ip firewall filter> print
Flags: X - disabled, I - invalid, D - dynamic
0 chain=input action=accept protocol=tcp log=no log-prefix=""

1 ;;; default configuration
chain=forward action=accept connection-state=established protocol=tcp
log=no log-prefix=""

2 ;;; default configuration
chain=forward action=accept connection-state=related log=no
log-prefix=""

3 ;;; default configuration
chain=forward action=drop connection-state=invalid log=no
log-prefix=""

4 chain=input action=accept protocol=icmp log=no log-prefix=""

5 chain=input action=accept connection-state=established log=no
log-prefix=""

6 chain=input action=accept connection-state=related log=no log-prefix=""

7 chain=input action=drop in-interface=ether1-gateway log=no log-prefix=""

mégsem megy. Hogyan javítsam?

Köszönöm

  • 2644 megtekintés

( csabka v | 2015. 05. 08., p – 13:59 )

hiányzik egy accept forward szabály, a drop előtt: "3 ;;; default configuration"

pl:

chain=forward action=accept connection-state=new protocol=tcp dst-port=5900
log=no log-prefix=""

ha esetleg a 0-ás szabály feladata lett volna az engedés, akkor az nem az átmenőre vonatkozó accept... s az által a Mikrotik nyitott portjai (pl: telnet, ssh, winbox, api, ftp, http, ntp, dns, stb... ha csak nem tiltottad le az ip/services résznél) bárhonnan hozzáférhetőek, legyen az külsö vagy belső interfész....
Erre érdemes odafigyelni, mert az ntp, snmp, dns, stb nyitott udp portokat előszeretettel használják amplified támadásokhoz...

( griko | 2015. 05. 08., p – 17:48 )

chain=dstnat action=dst-nat to-addresses=192.168.1.2 to-ports=5900
protocol=tcp dst-address=0.0.0.0 in-interface=pppoe-out1
dst-port=5900 log=no log-prefix=""

dst-address=0.0.0.0 - nem kell

chain=dstnat action=dst-nat to-addresses=192.168.1.2 to-ports=5900
protocol=tcp in-interface=pppoe-out1
dst-port=5900 log=no log-prefix=""