[ Kljajoni @ 30.03.2012. 14:00 ] @
Zamolio bih za malu pomoć pošto su mi trenutno firewall pravila na Mikrotiku ubistveno teška, tek pre neki dan sam krenuo sa ovim čudom da se bakćem.

Imam 1 WAN (Eunet ADSL, PPPoe) i 2 LAN interfejsa (192.168.88.0/24, 192.168.115.0/24). Presao sam par osnovnih uputstava koja sam nasao na netu i trenutno mi svi racunari bez problema pristupaju Internetu sa oba interfejsa, uradio sam neki basic security sa disable-ovanjem servisa, podigao DHCP server za jedan interfejs i nekako uspeo da podignem OpenVPN server na ruteru.

Kako da računarima koji su u opsegu 192.168.115.0/24 dozvolim RDP pristup odredjenim serverima koji se nalaze negde na Internetu, a da im zabranim kompletno sav ostali saobracaj ?
[ BigFoot @ 30.03.2012. 15:59 ] @
Code:
/ip firewall filter
add chain=forward src-address=192.168.115.0/24 dst-port=!3389 action=drop
[ acatheking @ 30.03.2012. 16:45 ] @
Ne moze samo to pravilo, jer bi to ubijalo i sve uspostavljene TCP konekcije. Trebalo bi ovako:

Code:

/ip firewall filter
add chain=forward action=accept tcp-flags=!syn connection-state=established protocol=tcp
add chain=forward src-address=192.168.115.0/24 dst-port=!3389 action=drop
[ BigFoot @ 30.03.2012. 22:37 ] @
Zašto? Zar uspostavljene konekcije više nemaju dst-port=3389?
[ Aleksandar Đokić @ 31.03.2012. 01:47 ] @
u jednom smeru da
[ BigFoot @ 31.03.2012. 06:24 ] @
Zar uslov src-address=192.168.115.0/24 upravo ne definiše jedan smer, konekcije od ovih adresa prema nekim drugim?
[ Aleksandar Đokić @ 31.03.2012. 15:13 ] @
koliko ja znam da, kad je src-address 192... onda je dstport 3389 (ili koji vec),

mislim da si u pravu