MikroTik: jak zablokovat port na firewallu
Zdar. Nějak s tým nemužu hnout.
NVR jede na firmě na portu 3321.
Když to přepošlu přes port forward na sternem portu, tak je to ok
add action=drop chain=forward comment="drop all on port 3321" disabled=no protocol=tcp port=3321
Když je pravidlo enable, tak se doma na NVR nepřipoji.
Ja však potřebují port forward z venči na 4411 portu a poslat na 3321.
Mam to dobře a normalně se doma připojim do NVR i na tom 4411 portu. Ale nejde zablokovat.
https://postimg.cc/QK997yWj
Pokud se kouknete na ten port 4411 tak na packets není žadný provoz a kamery přes NVR jedou.
Když změním action na accept, tak na tom portu take žadný provoz není.
https://i.postimg.cc/BZVYQy2c/accept.png
Kde mam chybu?
S mikrotikem neumim, ale bych řek, že mam špatně nastavene In. Interface a Out. Interface.
Přesměrování portu:
General:
Chain: dstnat
Protocol: 6 (tcpip)
Dst port: 4411
Action
Action: dst-nat
To addresses: IP adresa
To ports: 3321
Přesměrovaní mam dobře a funguje to.
Něco mrvim na firewallu.
Firewall ma 2 vstupy.
Z vnitřní sitě a venkovní, ne?
A mi to připad, že to blokují na na vstupu z vnitřni sitě a pak se to teprve v port folwald přesměruje na ten port 4411.
Proto nevidim provoz a nejde to zablokovat.
I když to už mám vyřešene jinak, zajima mně, kde dělam chybu a spravne řešení.
Takze pokud mas dobre port forwarding, tak povoluj rovnou to pravidlo pro ten forwarding.
Kdyz pristup nechces.zakaz pravidlo a zadny pristup nebude
Ježišmarjá!
Nevím sice čeho se snažíš dosáhnout, ale portforwarding musíš explicitně nastavit. Takže nechápu, proč řešíš nějaké dropování, když to vlastní pravidlo povolující dstnat, kterým to povoluješ, přece můžeš zakázat
Ja si myslim, ze on nerozumie, co je output, input, a forward na fw.
Ked chces zakazat pristup zvonku musis zakazat pristup na inpute a nie na forwarde.
Preto tam nevidis ziaden pohyb, pretoze ten packet zvonku sa spracovava cez input.