Блокировать все внешние IP-адреса для NAS с помощью Winbox / Microtik

5030
JPM

Я не эксперт по сетевым правилам и правилам брандмауэра. Я могу использовать приложение Microtik / Winbox до того момента, когда я смогу настроить основные правила брандмауэра. Я хочу в принципе заблокировать весь внешний IP-доступ к моему NAS, кроме того, что находится во внутренней сети. Кажется, кто-то из Румынии все еще может войти с IP 79.112. , Кажется, что соединение с моего NAS к этим IP-адресам и увеличение портов от 40 до 60 тыс. На моей машине может быть мошенническая программа, но в то же время я хотел бы просто заблокировать все подключения в или из моего NAS. Используя Winbox, как я могу сделать это в разделе «Правила межсетевого экрана / фильтра»?

1

1 ответ на вопрос

2
JoelAZ

Как правило, ваш NAS не будет доступен для любого внешнего доступа, если вы а) специально не перенаправили порты на него; б) не имеете правила отбрасывания в брандмауэре.

Вариант b должен существовать из mikrotik по умолчанию setup / config, вариант a должен существовать, только если вы сделали это самостоятельно.

Так что пассивно, ваш nas разрешен выходить в сеть (пример, чтобы проверить наличие обновлений), но ничто не может достичь (или инициировать с) NAS. Если вы хотите явно заблокировать любые / все входы / выходы в nas, это правило должно помочь:

/ip firewall filter add chain=forward action=drop src-address=192.168.88.7 place-before=0

Измените src-address = на IP-адрес локальной сети вашего NAS. Удостоверьтесь, что place-before находится где-то выше вашего последнего правила 'drop'

Если у вас нет правила отбрасывать весь трафик в конце ваших правил фильтрации, вы должны добавить его немедленно. Обратите внимание, что важно, чтобы это правило было ПОСЛЕДНИМ в ваших правилах фильтрации. Все, что ниже, никогда не будет запущено. Если это первое, вы, вероятно, заблокируете себя из маршрутизатора.

РЕДАКТИРОВАТЬ- Добавлены изображения: Image 1 2 3

Я не знаю, что это за код выше. Все, что у меня есть, это Winbox. Можете ли вы показать мне, как это будет в программе Winbox и какие экраны / вкладки использовать, как я и спросил в своем вопросе. JPM 9 лет назад 0
Winbox это мощный инструмент. В дополнение к графическому использованию вы можете также открыть терминал в нем и использовать командную строку. Найдите кнопку «Новый терминал» с левой стороны. Затем вы можете ввести указанный выше код, точно так же, как набранный в терминале. JoelAZ 9 лет назад 0
Далее - существует корреляция между командами терминала и графическим вводом Winbox, например, с помощью приведенной выше команды: перейдите по IP, затем по Брандмауэру. Перейдите на вкладку «Фильтр» и нажмите кнопку «Добавить» (кнопка «плюс»). Установите цепочку для переадресации, установите src-адрес, соответствующий вашей сети NAS. Перейдите на вкладку «Действие» и установите «Действие для удаления». Нажмите ОК. Вернувшись к правилам фильтрации, перетащите это новое правило из нижней части списка в верхнюю. JoelAZ 9 лет назад 0
Добавил изображения в мой пост. Надеюсь, что это проясняет для вас. В будущем / для справки, ожидается, что вы приложите некоторые усилия для решения своих собственных проблем, а также помощи, которую вы получите от сообщества, поэтому, если ответ не является пошаговым, просто попробуйте немного google / search первый. Во всяком случае, надеюсь, что это поможет вам. JoelAZ 9 лет назад 0
Следовательно, почему я спросил это здесь, погуглил это, и большинство было командной строкой, которую я не решаюсь делать, потому что я не хочу блокировать себя из маршрутизатора. Winbox позволяет вам протестировать настройки и может откатить их. Спасибо за помощь, у меня есть все в конце. JPM 9 лет назад 0
Не беспокойтесь, рад, что это помогло. Продолжая изучать Mikrotik, я призываю вас всегда помнить о взаимосвязи между тем, как все устроено в графическом интерфейсе, и тем, как строятся командные строки. Это огромная помощь в получении ответов из командной строки, которые вы найдете через Google или другие форумы, и переносе их в правые клики, чтобы сделать это через графический интерфейс. Одно это было огромной помощью для меня, когда я изучал его. JoelAZ 9 лет назад 0

Похожие вопросы