Mikrotik — правила firewall для перенаправленных портов

Допустим мы хотим чтобы порт 12345 на микротике пробрасывался на сервер внутри локалки на порт 3389 (удаленный рабочий стол). Для этого, как известно, достаточно создать правило в NAT:

/ip firewall nat add chain=dstnat action=dst-nat to-addresses=192.168.1.100 to-ports=3389 protocol=tcp in-interface=ether1-WAN dst-port=12345 log=no log-prefix=""

Но при этом обычное правило фаервола для порта 12345 не работает. Например, если нужно сделать правило, записывающее в лог все попытки подключения на порт 12345, мы бы сделали так:

/ip firewall filter add chain=forward action=log protocol=tcp dst-port=12345 log=yes log-prefix=""

Но такое правило срабатывать не будет. А происходит это потому, что оно отрабатывается уже после трансляции порта на внутренний сервер. Есть два варианта: либо создать правило chain=prerouting (в /ip firewall mangle), либо создать правило в /ip firewall filter, но для конечного порта, на который мы пробрасываем, т.е. 3389. Ниже оба варианта в примерах:

/ip firewall mangle add chain=prerouting action=log protocol=tcp in-interface=ether1-WAN dst-port=12345 log=yes log-prefix=""

ИЛИ

/ip firewall filter add chain=forward action=log protocol=tcp in-interface=ether1-WAN dst-port=3389 log=yes log-prefix=""

Mikrotik — правила firewall для перенаправленных портов: 2 комментария

  1. Уведомление: Блокировка перебора паролей — ИТ заметки

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *