パブリックホストサーバーのパブリックIPファイアウォールとしてMikroTikブリッジを使用する
これを実行したい:
インターネット<->ファイアウォールフィルター付きブリッジモードのMikroTik <->ホストサーバー
主な目的は、RDPとFTPを外部から許可し、それ以外はすべて外部からブロックすることです。内側からすべてが出なければなりません。
私たちが直面している問題は、これらのルールを追加し、外部から内部へのブロックが機能していることですが、ホストされているサーバーは外部へのアクセスができなくなりました。外部からの戻りTCP/IPは、ポート3389またはポート80ではなく、ランダムです。
/インターフェイスブリッジフィルター> pr
フラグ:X-無効、I-無効、D-動的0 ;;; PINGのICMPを受け入れるchain = forward action = accept mac-protocol = ip dst-address = 196.x.x.x/32 ip-protocol = icmp
1 ;;; FTP転送ポートを受け入れるchain = forward action = accept mac-protocol = ip dst-address = 196.x.x.x/32 dst-port = 20 ip-protocol = tcp
2 ;;; FTP制御ポートを受け入れるchain = forward action = accept mac-protocol = ip dst-address = 196.x.x.x/32 dst-port = 21 ip-protocol = tcp
3 ;;; RDPを受け入れるchain = forward action = accept mac-protocol = ip dst-address = 196.x.x.x/32 dst-port = 3389 ip-protocol = tcp
4 ;;;ドロップされようとしているすべてのものをログに記録しますchain = forward action = log mac-protocol = ip dst-address = 196.x.x.x/32 ip-protocol = tcp log-prefix = "firewall_drop"
5 ;;;すべてを削除chain = forward action = drop mac-protocol = ip dst-address = 196.x.x.x/32 ip-protocol = tcp
参考までに、FYIブリッジはファイアウォールを使用するように設定されており、接続追跡がオンになっています。
ブリッジングはばかげた考えであり、最初からルーティングする必要があったという@Mattに同意します。ブリッジした理由は、ボーダールーターが2つのインターフェイス(WAN(ATM)とLAN(パブリックに使用))を備えたレガシーCisco VXR 7206)であったためです。また、@ DJ_KukkyによるDST-NATの使用の提案は、はるかに多くの構成につながる可能性があり、クライアントにプライベートIPを提供することはできません(または提供しません)。公開されているISPです。
Ciscoにファイアウォールルールを実装するか、テクノロジー(ATM)を置き換える必要がありました。最終的に、ATMをMetroEthernetに置き換え、イーサネットインターフェイス上に外部インターフェイスを確立することができたため、MikroTikを使用しました。それは本当にうまく機能しています。
これは接続追跡と関係がありますが、ブリッジでどのように機能するか正確にはわかりません。 src-addressまたはinterfaceを使用して内部からすべてを許可する別のルールを追加するだけです。
add chain=forward action=accept mac-protocol=ip src-address=196.x.x.x/32 ip-protocol=tcp place-before=4
サーバーにローカルIPサブネットを使用し、mikrotik(ルーター)とサーバーの間にプライベートLANを配置することをお勧めします。また、パブリックIPで直接mikrotikを使用します。次に、(サーバーからインターネットへの)発信トラフィックに対してipsrc-natを実行します。すべての着信トラフィックはポート転送(dst-nat)する必要があります。また、通常のレイヤー3 IPファイアウォールを使用して、レイヤー2 /ブリッジネットワークのレイヤー3ファイアウォールを無効にすることもできます。