2. 질의 응답
  3. 3 개 인터페이스, 내가 가상 서버에 설치된 라우터 운영 체제가

3 개 인터페이스, 내가 가상 서버에 설치된 라우터 운영 체제가

2016-12-14 3 views
-1

미크로 틱 핫스팟 방화벽 규칙을 사용자 정의 :3 개 인터페이스, 내가 가상 서버에 설치된 라우터 운영 체제가

LAN-192.168.1.1/24

은 완 - 192.168.2.1/24

와이파이 192.168.3.1/24

내가 정적 공용 IP를 ISP 및 얻을 통한 WAN 연결하는 PPOE 클라이언트가

x.x.x.x

나는 DNS, LAN 인터페이스에 HTTP 서비스, WIFI 인터페이스 1 개 무선 액세스 포인트와 윈도우 서버가 있습니다.

내가 80,53 제외하고 인터넷에서 블록 들어오는 연결, 규칙, ... 만든

내가 로컬 서버 IP에 내 공개 IP x.x.x.x에서 DST-NAT를 만들었습니다. LAN에서 서버 LAN IP 주소까지 또 다른 dst-nat. SRC NAT to masqurade, LAN and WIFI 서버에 연결. 또 다른 SRC-NAT 접속 인터넷을위한 마스 쿼드.

mikrotik 또한 내 로컬 서버 DNS 서비스에서 레코드를 가져오고 캐치하는 데 사용되는 DNS 서비스입니다.

모든 것이 잘 작동 할 때까지 WIFI 인터페이스에서 핫스팟 서비스를 만들고 싶습니다. 동적 방화벽 필터 및 NAT는 모든 작업을 중단시킵니다.

시나리오는 인증을 통해 WIFI 사용자가 인터넷에 접속하여 로컬 및 무료로 로컬 서버에 액세스합니다. LAN 사용자를위한 인터넷 액세스가 무료입니다. 인터넷에서 내 서버에 대한 공용 웹 액세스.

미리 감사드립니다.

출처

2016-12-14 MKeshavarzian

+0

조언이 없습니까? – MKeshavarzian

답변

0

참고 : 직접 응답을 원하는 경우 TLDR로 건너 뜁니다.

이 구성은 필요한 것보다 훨씬 복잡해졌습니다. 지금 당장 사용하지 않는 라우터가 없기 때문에 메모리에서 이것을 씁니다. 그러나이 이되어야합니다.

나는 여기에 몇 가지 가정을 만들려고 해요 : 당신은 당신의 LAN에 도달 할 수 있도록 WAN 및 PPPoE에서 사람을 원하지 않는

  • .
  • WIFI의 모든 사람이 HTTP 또는 DNS를 제외하고는 LAN에 연결할 수 없도록하려는 경우입니다.
  • 모든 작업이 작동하고 서버에서 HTTPS를 사용하도록 설정하면 다시 원을 그리려합니다. 이건 중요하다!!!

먼저 제한없이 작동하도록 모든 것을 설정하십시오. 단일 가면을 제외하고 규칙은 없습니다. 192.168.0.0/16을 목적지로하지 않은 모든 트래픽을 가장하고 싶습니다. 이 규칙은 필요한 모든 것입니다.PPPoE 인터페이스의 트래픽에 서비스를 제공하려는 경우가 아니면 DST-NAT 규칙은 필요하지 않습니다.

  • 모든 설립에 동의하고 모든 관련 트래픽 (다른 제한) :

    다음으로, FORWARD 체인에서 다음과 같은 방화벽 규칙을 추가합니다.

  • 192.168.3.0/24부터 TCP 80,53,443까지 Windows Server IP 주소로 전송됩니다.
  • 192.168.3.0/24에서 192.168.3.0/24까지 사용자의 Windows 서버 IP 주소를 대상으로하는 ICMP에 동의합니다.
  • 192.168.1.0/24부터 192.168.0.0/16까지 허용됩니다. 이렇게하면 LAN에 대한 인터넷 액세스가 허용됩니다.
  • 192.168.3.0/24부터 192.168.0.0/16까지 허용됩니다. 이것은 WIFI를위한 인터넷 액세스를 허용합니다.
  • DROP 그 외 모든 것.

모든 것이 제대로 작동하는지 확인하십시오. 이 기본 규칙은 WIFI에 연결하는 무작위 사용자로부터 LAN에 대한 최소한의 보호를 제공합니다. 이렇게하면 핫스팟을 사용 중지하여 Wi-Fi를 통해 제한없는 액세스를 허용하는 경우 LAN이 보호됩니다.

* TLDR *

지금 당신은 당신의 핫스팟을 설정할 수 있습니다. 가장 중요한 부분은 Walled Garden IP 목록 탭의 IP -> 핫스팟입니다. 여기에 항목을 추가하여 다른 사람이 로그온하기 전에 작동 할 서버, 특히 서버의 HTTP, DNS 등의 서비스에 액세스 할 수 있도록해야합니다. 핫스팟은이를 자동으로 생성 된 방화벽 규칙으로 변환합니다.

마지막으로, 이것이 완벽한 방화벽 설정이 아니라고 말하지 않았다면, 상황이 제대로 구현되지 않으면 여기에 잘못 될 수있는 모든 종류의 것들이 있습니다. 유료 지원에 관심이 있다면 내 이메일이 내 프로필에 있습니다.

출처

2017-07-11 21:49:29

관련 문제

 관련 문제