web-dev-qa-db-ja.com

Mikrotikファイアウォールルール:VPNサーバー以外のすべての接続をブロックする

タイトルにあるように、VPNサーバーへの接続を除いて、外部からのmikrotikルーターへのすべての接続をブロックする必要があります。次に、外部LANからVPN(L2TP/IPsecまたはPPTPのいずれか)を介してリモートデスクトップからLANのシステムへの接続を許可します。

Rdp over vpnを除くすべての接続をブロックするMikrotikルーターのファイアウォールのルールは何ですか?

追加情報:

私たちのオフィスにはLANセットアップがあり、最後のゲートウェイはMikrotikルーターです。クライアントシステムでVPNサーバー、VPNクライアントを作成し、クライアントシステムからrdpを作成する方法を知っています。外部ファイアウォールがVPNサーバーへの接続のみを許可するようにしたいvpnファイアウォールrdpmikrotik

2
niren

PPTP使用

  • TCPポート1723
  • トンネリング用のGRE(プロトコルID 47)

MikrotikでPPTP)を受け入れる:

/ip firewall filter add chain=input action=accept protocol=tcp dst-port=1723
/ip firewall filter add chain=input action=accept protocol=gre

L2TP/IPsecの使用

  • TCPポート1701
  • セキュリティアソシエーション(SA)のUDPポート500-セキュリティメソッド(パスワード、証明書、Kerberos)をネゴシエートします
  • AH(プロトコルID 50)-認証ヘッダー
  • ESP(プロトコルID 51)-カプセル化された安全なペイロード

MikrotikでL2TP/IPSecを受け入れる:

/ip firewall filter add chain=input action=accept protocol=tcp dst-port=1701
/ip firewall filter add chain=input action=accept protocol=udp dst-port=500
/ip firewall filter add chain=input action=accept protocol=ipsec-ah
/ip firewall filter add chain=input action=accept protocol=ipsec-esp

他のすべての着信接続をブロックする(TCP)

/ip firewall filter add chain=input protocol=tcp action=reject reject-with=tcp-reset

rejectの代わりにaction=dropを使用できますが、 Hannes Schmidt によると、NMAPはポートが開いていることを確認できますが、ファイアウォールによってドロップ(フィルタリング)されます

5
BlackFur