mikrotik

mikrotik allow remote requests only for LAN

от
Для того, чтобы заблокировать удалённые запросы нужно сделать такое правило firewall на MT
IP —> Firewall —> Filter rules
add action=drop chain=input comment=DROP-DNS-Requests-From-Outside dst-port=53 in-interface=ether1 log=yes log-prefix=dns-in-drop protocol=udp
далее можно проверить, если с удалённого хоста ввести команду
nslookup ya.ru ВНЕШНИЙ адрес
ответа быть не должно
nslookup ya.ru ВНЕШНИЙ адрес
;; communications error to ВНЕШНИЙ адрес#53: timed out
;; communications error to ВНЕШНИЙ адрес#53: timed out
;; communications error toВНЕШНИЙ адрес#53: timed out
;; no servers could be reached

если с локального хоста, то ответ будет

nslookup ya.ru ВНЕШНИЙ адрес
Server: ВНЕШНИЙ адрес
Address: ВНЕШНИЙ адрес#53

Non-authoritative answer:
Name: ya.ru
Address: 77.88.55.242
Name: ya.ru
Address: 5.255.255.242
Name: ya.ru
Address: 2a02:6b8::2:242

mikrotik virtual vlan

от

Создаём его в Interfaces — Vlan

указываем ай ди влана и интерфейс микротика куда будем подключаться (если физическое подключение)

Далее идём в IP -> Addresses

в поле Interface выставить название интерфейса, которые создавали выше.

Mikrotik router

от

Mikrotik router

router

IP — > DHCP Server — > Leases (покажет выданные адреса DHCP сервером)

IP — Firewall — > NAT — настройка правил файрвола на примере открытия порта 3389.

General — > Chain — dstnat, protocol 6 (tcp), Dst. Port 3389, In Interface pppoe-out1, action — > netmap + log , to Addresses 192.168.xx — локальный адрес, To ports — 3389

General — > Chain — srcnat, Dst. Address 192.168.0.0/16, Out Interface pppoe-out1, action — > masquerade

IP — Firewall — > Connections (покажет подключения, которые есть в данный момент)

Interfaces -> Interface покажет список портов.
R — есть линк,
RS — есть линк, порт в бридже (slave?)
S — нету линка

Для поднятия GRE Tunnel на MT
Interfaces — > GRE Tunnel — > add — > name любое,
local address наш ip, Remote address — ip куда создаём тунель, dscp — inherit, dont fragment — no