MikroTik: jak zablokovat port na firewallu

Zdar. Nějak s tým nemužu hnout.

NVR jede na firmě na portu 3321.
Když to přepošlu přes port forward na sternem portu, tak je to ok
add action=drop chain=forward comment="drop all on port 3321" disabled=no protocol=tcp port=3321
Když je pravidlo enable, tak se doma na NVR nepřipoji.

Ja však potřebují port forward z venči na 4411 portu a poslat na 3321.
Mam to dobře a normalně se doma připojim do NVR i na tom 4411 portu. Ale nejde zablokovat.
https://postimg.cc/QK997yWj
Pokud se kouknete na ten port 4411 tak na packets není žadný provoz a kamery přes NVR jedou.

Když změním action na accept, tak na tom portu take žadný provoz není.
https://i.postimg.cc/BZVYQy2c/accept.png

Kde mam chybu?
S mikrotikem neumim, ale bych řek, že mam špatně nastavene In. Interface a Out. Interface.

Předmět	Autor	Datum
Už ti radí na Rootu, proč to cpát ještě sem? https://forum.root.cz/index.php?topic=27709.msg389311#m… host 15.06.2023 12:39	host	15.06.2023 12:39
Protože to řešim na firmě, 200 km od domova, a až to vyřešim, mužu valit domu a mam vikend. Nechce s… BigSandy 15.06.2023 12:43	BigSandy	15.06.2023 12:43
Přesměrování portu: General: Chain: dstnat Protocol: 6 (tcpip) Dst port: 4411 Action Action: dst-nat… Jan Fiala 15.06.2023 13:40	Jan Fiala	15.06.2023 13:40
Přesměrovaní mam dobře a funguje to. Něco mrvim na firewallu. Firewall ma 2 vstupy. Z vnitřní sitě a… BigSandy 15.06.2023 13:44	BigSandy	15.06.2023 13:44
Takze pokud mas dobre port forwarding, tak povoluj rovnou to pravidlo pro ten forwarding. Kdyz prist… poslední Jan Fiala 15.06.2023 23:12	Jan Fiala	15.06.2023 23:12
Ježišmarjá! Nevím sice čeho se snažíš dosáhnout, ale portforwarding musíš explicitně nastavit. Takž… touchwood 15.06.2023 18:28	touchwood	15.06.2023 18:28
Ja si myslim, ze on nerozumie, co je output, input, a forward na fw. fleg 15.06.2023 19:56	fleg	15.06.2023 19:56
Ked chces zakazat pristup zvonku musis zakazat pristup na inpute a nie na forwarde. Preto tam nevidi… fleg 15.06.2023 19:57	fleg	15.06.2023 19:57

Už ti radí na Rootu, proč to cpát ještě sem?
https://forum.root.cz/index.php?topic=27709.msg389311#msg389311

Protože to řešim na firmě, 200 km od domova, a až to vyřešim, mužu valit domu a mam vikend.
Nechce se mi tu sedět, než se tam někdo najde.

Přesměrování portu:
General:
Chain: dstnat
Protocol: 6 (tcpip)
Dst port: 4411
Action
Action: dst-nat
To addresses: IP adresa
To ports: 3321

Přesměrovaní mam dobře a funguje to.
Něco mrvim na firewallu.
Firewall ma 2 vstupy.
Z vnitřní sitě a venkovní, ne?
A mi to připad, že to blokují na na vstupu z vnitřni sitě a pak se to teprve v port folwald přesměruje na ten port 4411.
Proto nevidim provoz a nejde to zablokovat.
I když to už mám vyřešene jinak, zajima mně, kde dělam chybu a spravne řešení.

Takze pokud mas dobre port forwarding, tak povoluj rovnou to pravidlo pro ten forwarding.
Kdyz pristup nechces.zakaz pravidlo a zadny pristup nebude

Ježišmarjá!

Nevím sice čeho se snažíš dosáhnout, ale portforwarding musíš explicitně nastavit. Takže nechápu, proč řešíš nějaké dropování, když to vlastní pravidlo povolující dstnat, kterým to povoluješ, přece můžeš zakázat

Ja si myslim, ze on nerozumie, co je output, input, a forward na fw.

Ked chces zakazat pristup zvonku musis zakazat pristup na inpute a nie na forwarde.
Preto tam nevidis ziaden pohyb, pretoze ten packet zvonku sa spracovava cez input.

Zpět do poradny Odpovědět na původní otázku Nahoru