Eu tenho um 750Gl que eu tenho um servidor web por trás. Seu endereço é 10.30.1.70/24.
Eu tive um problema com ele sendo invadido. Depois de reconstruí-lo e consertar minhas vulnerabilidades, quero ir um pouco além, negando qualquer possível vírus de saída que possa passar no futuro. A maneira mais fácil de descobrir é fechar todas as portas de saída, exceto 53 & 80.
Quero permitir que meu servidor da Web receba atualizações, por isso preciso permitir a porta de saída 80 & 53. Meu servidor da web também está na porta 80.
Eu tentei algumas maneiras diferentes, mas não consigo fazer nada funcionar corretamente. Eu tentei as configurações abaixo. O primeiro funciona muito bem para bloquear tudo o que sai, exceto a porta 80 & 53. Mas usá-lo parece anular minha porta para o mesmo servidor na porta 80. Como posso fazer isso funcionar?
/ip firewall filter
add chain=forward action=accept src-address=10.30.1.0/24 protocol=tcp dst-port=53
add chain=forward action=accept dst-address=10.30.1.0/24 protocol=tcp src-port=53
add chain=forward action=accept src-address=10.30.1.0/24 protocol=udp dst-port=53
add chain=forward action=accept dst-address=10.30.1.0/24 protocol=udp src-port=53
add chain=forward action=accept src-address=10.30.1.0/24 protocol=tcp dst-port=80
add chain=forward action=accept dst-address=10.30.1.0/24 protocol=tcp src-port=80
add chain=forward action=drop
Com um encaminhamento como este:
/ip firewall nat
add action=dst-nat chain=dstnat comment="Access to Webserver NAT Rule" disabled=no \
dst-port=80 protocol=tcp to-addresses=10.30.1.70 to-ports=80
O problema com o que você está propondo é que as conexões para o servidor da Web vêm de portas altas aleatórias, não de 80. Então, com isso, não seria possível veicular páginas da Web. Então você está fazendo exatamente o que você precisa para fazer o que você está tentando, mas o que você está tentando fazer é fundamentalmente falho.
Tags networking firewall mikrotik