 Не могу заблокировать левый трафик по forward |
Здравствуйте, гость ( Вход | Регистрация )
  |
| Не могу заблокировать левый трафик по forward |
| dssdfsdaf |
 24.2.2018, 14:04
Сообщение
#1
|
|
Новичок  Группа: Пользователи Сообщений: 3 Регистрация: 24.2.2018 Пользователь №: 7 233  |
Всем привет, у меня не самая простая настройка файервола, по этой причине не могу разобраться как правильно выстроить правила, что бы заблокировать левый трафик по forward, в типичной настройке мы разрешаем established и related а так же все пакеты из нашей локалки в Интернет, ну и дальше блокируем все по forward, после чего все левое должно дропаться, но когда я это делают, у меня все равно блочится Интернет. И я не могу понять что за трафик у меня в итоге в forward дропается, dns запросов в нем нет, возможно это трафик в виде новых подключений, но если у нас разрешены все исходящие из локальной, то по идее новые блочится не будут. Возможно этот трафик это ответ который прилетает к нам после запроса о dns, но тогда как его правильно промаркеровать? Ну и буду признателен, если укажете на какие-то еще косяки в конфиге, они явно могут быть.
   Трафик если я его блокирую по forward, Интернет в этот момент пропадает, хотя исходящие из локальной сети в Интернет разрешены:   |
   |
 
|
| Vasia |
24.2.2018, 17:54
Сообщение
#2
|
|
Активный участник Группа: Пользователи Сообщений: 295 Регистрация: 8.4.2011 Пользователь №: 1 154 |
Не увидел настройки маршрутов, не увидел настройки нат, вероятно это не настроено, поэтому и не работает
|
|
|
|
| dssdfsdaf |
24.2.2018, 19:34
Сообщение
#3
|
|
Новичок Группа: Пользователи Сообщений: 3 Регистрация: 24.2.2018 Пользователь №: 7 233 |
Цитата(Vasia @ 24.2.2018, 17:54)  Не увидел настройки маршрутов, не увидел настройки нат, вероятно это не настроено, поэтому и не работает Извиняюсь    |
|
|
|
| Vasia |
25.2.2018, 0:29
Сообщение
#4
|
|
Активный участник Группа: Пользователи Сообщений: 295 Регистрация: 8.4.2011 Пользователь №: 1 154 |
Ваши марки в роутах не используются. Все настраивается по другому.
|
|
|
|
| dssdfsdaf |
25.2.2018, 1:27
Сообщение
#5
|
|
Новичок Группа: Пользователи Сообщений: 3 Регистрация: 24.2.2018 Пользователь №: 7 233 |
Цитата(Vasia @ 25.2.2018, 0:29) Ваши марки в роутах не используются. Все настраивается по другому. Подскажете как? Мои марки используются в приотеризации. |
|
|
|
| Vasia |
25.2.2018, 3:06
Сообщение
#6
|
|
Активный участник Группа: Пользователи Сообщений: 295 Регистрация: 8.4.2011 Пользователь №: 1 154 |
В фильтрах делаете правила разрешающие прохождение трафика в примере разрешен 443 порт tcp 1 правило
Надо разрешить днс и другие сервисы Код /ip firewall filter> print ...... 1 chain=forward action=accept protocol=tcp dst-port=443 log=no log-prefix="" ......Тут много разрешенных соединений........... 30 X chain=forward action=reject reject-with=icmp-net-prohibited log=no log-prefix="" .........32-33 правило дублируете для wan........... 32 chain=input action=reject reject-with=tcp-reset connection-state=new protocol=tcp in-interface=byfly log=no log-prefix="" 33 chain=input action=drop connection-state=new in-interface=byfly log=no log-prefix="" Весь разрешенный трафик проходит через forward а остальной блокируется 30м правилом |
|
|
|
|
| Текстовая версия | Сейчас: 20.4.2018, 11:42 |
