Versão Imprimível
Galera necessito de uma ajuda, estou colocando um MK na rede que só tem um servidor de terminal server. Vou criar uma vpn, para conexão de fora e assim conectar no servidor via TS. Quero configurar o firewall, para bloquear tudo, menos a porta da conexão remota, vpn e acesso a ele via rede local mesmo por winbox. estou tendo dificuldades com isso!! poderia dar dicas, desde já agradeço!!
Crie uma regra com chain=FORWARD e action=ACCEPT para o IP do servidor e porta do terminal server.Citação:
Postado originalmente por sn0wt
Crie regras liberando acesso da lan para internet (FORWARD) e da lan para o próprio MK (INPUT).
Libere a(s) porta(s) e protocolos para a vpn.
No final de todas as regras de liberação, adicione uma bloqueando todo o tráfego que não foi especificado antes (DROP).
Não esqueça do dst-NAT para acessar o TS de fora se ele estiver com ip privado.
Na wiki do Mikrotik você encontra mais sobre firewall: http://wiki.mikrotik.com/wiki/Firewall
Amigo obrigado pela resposta.Citação:
Postado originalmente por FMVC10
A vpn e regras para liberação, ta ok, já consegui!!
Essa regra chain=FORWARD e action=ACCEPT para o ip do servidor e porta do TS, seria uma NAT? como seria essa regra?
Essas regras liberando acesso da lan para internet e lan MK(INPUT), seria para n perder acesso ao MK? como seria essa regra?
Obrigado
A vpn está funcionando, consigo conectar, mas mesmo sem regras de firewall, não consigo pingar e nem conectar na máquina via TS. Algumas dicas ai
A faixa de ip do cliente vpn tem que ser diferente da usada na rede local
Obrigado deu certo!! consigo conectar no TS.
Agora sobre as regras do firewall, conforme explicação lá em cima.
Preciso liberar o TS no servidor, a vpn(já tenho as regras) e bloquear o resto tudo!
Fiz uma regra de drop e forward de todas as portas, ai bloqueia a conexão do TS, qual seria a regra para liberar?
Faz uma regra de aceept para com destino o servidor TS e porta TCP 3389, e deixe esse regra acima da regra de drop.
Não esqueça as estrelas ;)
Não está dando certo!!Citação:
Postado originalmente por berghetti
Fiz essa regra de bloqueio, n sei se está certa: Chain: forward / Protocol: (6)tcp / Dst. Port: 0-65535 / Action: drop
A regra de liberação seria: Chain: Input / Dst. Address: IP Servidor TS / Protocol: (6)tcp / Dst. Port: 3389 / Action: accept
Ta faltando algo?
Tenta colocar a regra de liberação na chain forward, e coloque acima da de bloqueio.
Mudei aqui, mas não deu certo ainda!!Citação:
Postado originalmente por berghetti
Sem a regra de drop funciona tudo certo?
E quando tem a regra, você chega a se conectar na vpn?
Funciona TS sim se desabilitar a regra de drop!! A vpn funciona pq tem duas regras de accept, porta 1723 e 47(gre).Citação:
Postado originalmente por berghetti
Na regra de aceept, deixe sem porta de destino, coloque apenas o IP do servidor TS. E teste.
Nada ainda!! olha ai como está!!Citação:
Postado originalmente por berghetti
Anexo 60572
Tente criar uma regra de aceept com IP do origem o servidor TS, e o de destino a faixa de ip do cliente vpn
Cara deu certo, muito obrigado!!Citação:
Postado originalmente por berghetti
Mais uma dúvida, com essa regra de bloqueio, tb bloqueia a navegação na rede. Quais regras teria que criar para liberar a navegação? No print ali, eu criei tres regras, accept porta http, https e dns. mas mesmo assim n navega!!
Opa blz, então não esquece minha estrela rsrs
Sobre a navegação,. Colocou o IP de origem a faixa de ip interna na regra?
@sn0wt
A regra que você fez de porta FTP, eu creio ser mais seguro desativar em Firewall / Services Ports.
Assim como outros serviços ali listados que não forem utilizados no seu atual cenário.
Seria na Src. Address? Assim? se for não deu certo!Citação:
Postado originalmente por berghetti
Anexo 60573
To ligado cara, obrigado, mas aquela ali é só para teste mesmo, aprendizado. Vou desativar sim os serviços la!!Citação:
Postado originalmente por Dimas