Телеграмм чат группы mikrotikclub страница 6966

Если по условиям статьи, то:
/ip firewall filter add chain=forward protocol=tcp dst-port=80,443 dst-address=192.168.0.3 action=accept
Как там у Вас - интерпретируйте сами.
И не забудьте разрешать related, established

источник

20:25пожаловаться #16

C

Cumberbatch in MikrotikClub

Pavlo D.

ну, это я понял, сделал так, но не помогло

Используйте стандартный firewall. И тогда правила NAT будут нормально отрабатываться. В том числе и dst-nat

https://t.me/mikrotikclub/143660

Cumberbatch in MikrotikClub

/interface list member
add list=LAN interface=bridge comment="defconf: eth2-eth5"
add list=WAN interface=ether1 comment="defconf"
/ip firewall nat
add chain=srcnat out-interface-list=WAN ipsec-policy=out,none action=masquerade comment="defconf: masquerade"
/ip firewall filter
add chain=input action=accept connection-state=established,related,untracked comment="defconf: accept established,related,untracked"
add chain=input action=drop connection-state=invalid comment="defconf: drop invalid"
add chain=input action=accept protocol=icmp comment="defconf: accept ICMP"
add chain=input action=accept dst-address=127.0.0.1 comment="defconf: accept to local loopback (for CAPsMAN)"
add chain=input action=drop in-interface-list=!LAN comment="defconf: drop all not coming from LAN"
add chain=forward action=accept ipsec-policy=in,ipsec comment="defconf: accept in ipsec policy"
add chain=forward action=accept ipsec-policy=out,ipsec comment="defconf: accept out ipsec policy"
add chain=forward action=fasttrack-connection…

источник

20:29пожаловаться #17

VP

Vladimir Prislonsky in MikrotikClub

Alex Lev

я извиняюсь, я все это время имел ввиду extra. а action должен быть dst-nat конечно же

Повторю - это лишнее правило. Мешать работе оно, по сути, не будет, но и ничего расширенного не добавит. Вы никак не сможете обеспечить условие при котором однозначно указанный dst-address Вашего интерфейса не был бы local.

источник

20:29пожаловаться #18

VP

Vladimir Prislonsky in MikrotikClub

Cumberbatch

Используйте стандартный firewall. И тогда правила NAT будут нормально отрабатываться. В том числе и dst-nat

https://t.me/mikrotikclub/143660

Cumberbatch in MikrotikClub

/interface list member
add list=LAN interface=bridge comment="defconf: eth2-eth5"
add list=WAN interface=ether1 comment="defconf"
/ip firewall nat
add chain=srcnat out-interface-list=WAN ipsec-policy=out,none action=masquerade comment="defconf: masquerade"
/ip firewall filter
add chain=input action=accept connection-state=established,related,untracked comment="defconf: accept established,related,untracked"
add chain=input action=drop connection-state=invalid comment="defconf: drop invalid"
add chain=input action=accept protocol=icmp comment="defconf: accept ICMP"
add chain=input action=accept dst-address=127.0.0.1 comment="defconf: accept to local loopback (for CAPsMAN)"
add chain=input action=drop in-interface-list=!LAN comment="defconf: drop all not coming from LAN"
add chain=forward action=accept ipsec-policy=in,ipsec comment="defconf: accept in ipsec policy"
add chain=forward action=accept ipsec-policy=out,ipsec comment="defconf: accept out ipsec policy"
add chain=forward action=fasttrack-connection…

+1

источник

20:29пожаловаться #19

AL

Alex Lev in MikrotikClub

спасибо за объяснение

источник

20:29пожаловаться #20