Как Открыть Порт 8444 Chia Mikrotik • Межсетевой экран
Настроим обнаружение устройства используя Neighbor Discovery только для внутренних интерфейсов или разрешенных интерфейсов. Создаем список BlackList , в который будем помещать IP адреса, которым по какой-то причине запрещен доступ к MikroTik или защищаемым устройствам. Мы хотим, чтобы при подключении к нашей сети в лице роутера на порты 110 и 51413 подключение переадресовывалось на компьютер PC1, а при подключении к порту 3189 на машину PC2.
Сервисы
Отключить неиспользуемые сервисы
Отключаем сервисы MikroTik, которые не планируем использовать.
- api, порт 8728 — если не используем API доступ, отключаем;
- api-ssl, порт 8729 — если не используем API доступ с сертификатом, отключаем;
- ftp, порт 21 — если не используем FTP доступ, отключаем;
- ssh, порт 22 — если не используем SSH доступ, отключаем;
- telnet, порт 23 — если не используем Telnet доступ, отключаем;
- www, порт 80 — если не используем доступ через Web браузер (http), отключаем;
- www-ssl, порт 443 — если не используем доступ через Web браузер (https), отключаем.
Изменить порт Winbox
Измените номер порта Winbox по умолчанию — 8291, на другой, свободный номер порта — Port (в примере порт 30122).
При изменении порта, следите чтобы не назначить Winbox порт используемый другой службой, список — здесь.
Нажмите на кнопку [System], потом на кнопку [Users], в открывшемся окне нажмите на вкладку [Groups], потом на кнопку [+] и введите параметры нового пользователя.
Mikrotik не открывается порт
Межсетевой экран
Настраиваем ограничения доступа к роутеру и устройствам сети с помощью межсетевого экрана MikroTik.
⚠️ Перед добавлением ограничивающих правил — включите Безопасный режим MikroTik!
Разрешить установленные и связанные соединения
Правило «Trusted» — разрешаем уже установленные и связанные подключения, для снижения нагрузки на центральный процессор роутера.
Помещаем правило первым в списке Filter Rules (поместите правило ориентируясь на его номер в комментарии).
Отбросить недействительные пакеты
Помещаем правило после правила Trusted, в списке Filter Rules (поместите правило ориентируясь на его номер в комментарии).
Разрешить ICMP
Правило «ICMP» — разрешает ICMP трафик на устройство.
Поместите правило ориентируясь на его номер в комментарии.
Черный список
Создать список
Создаем список BlackList, в который будем помещать IP адреса, которым по какой-то причине запрещен доступ к MikroTik или защищаемым устройствам.
Создать правило
Создадим правило «BlackList» отклоняющее запросы от IP адресов из списка BlackList.
Для экономии ресурсов центрального процессора, запрещающее правило разместим в таблице Prerouting.
⚠️ Правила размещенные в Prerouting выполняются до разделения трафика на цепочки Input и Forward!
Блокировка сканеров портов
Правило превентивной блокировки — блокируем ботов/пользователей сканирующих порты устройств в интернете, для поиска уязвимостей. Составим список не используемых портов нашим роутером, внесем в BlackList IP адреса устройств, кто пытается обратиться к указанным портам.
Для защиты от сканеров, которые целенаправленно ищут устройства MikroTik — добавим в список неиспользуемые порты (сервисы MikroTik) и стандартный порт Winbox 8291 (который мы сменили по рекомендации). Добавим популярные уязвимые порты роутеров (если злоумышленник проверяет на роутере данные порты, полностью заблокируем ему доступ).
Применять правило будем только для новых соединений.
TCP порты ловушки
Создать правило
Помещаем IP адрес недоверенного устройства в BlackList, на 10 часов:
Разместите правило, ориентируясь на его номер в комментарии.
🚯 За 10 часов в BlackList находится около 500 IP адресов выполняющих попытки сканировать «уязвимые порты» роутера MikroTik.
Разрешим порт Winbox
Правило «Winbox» — разрешаем подключение на порт Winbox (в примере — 30122).
Поместите правило ориентируясь на его номер в комментарии.
Сбрасываем неразрешенные соединения
Правило «Drop all» — отбросим все соединения, которые не были разрешены раньше и не входят в список доверенных (внутренних) интерфейсов (InternalInterfaces).
Обычные пользователи не обращают на них внимания, но я рекомендую всем либо выключить к ним доступ, либо настроить правила фильтрации. Самое простое, как закрыть порты: А так как у меня была статика IP последние 2 месяца, то я был вообще идеальным DNS к слову на работе все галки были сняты сразу, так как на тот момент я про нее уже знал. Базовая настройка защиты роутера MikroTik настройка устройства, настройка сетевого экрана, защита от сканирования портов, защита от подбора пароля.
Проброс портов в Микротике
Итак, начнём с самого простого и, в тоже время, нужного — проброс порта из внутренней сети «наружу».
Посмотрим немного подробнее, на примере роутера Mikrotik RB951-2n. У него 5 портов, плюс модуль WiFi.
Подключаемся через web-интерфейс или Winbox’ом к роутеру(по умолчанию логин admin, без пароля), заходим в список интерфейсов, это второй пункт в меню, Interfaces.
Тут мы видим все интерфейсы, доступные нашему роутеру(интерфейс — это, грубо говоря, канал связи роутера с другим компьютером/компьютерами)
Мы хотим, чтобы при подключении к нашей сети в лице роутера на порты 110 и 51413 — подключение переадресовывалось на компьютер PC1, а при подключении к порту 3189 — на машину PC2.
Для этого и нужен NAT.
В Микротике управление NAT’ом находится в разделе IP->Firewall->NAT:
В появившемся окне нового правила нам нужно всего несколько опций
Вкладки Advanced (Продвинутый) и Extra (Дополнительный) содержат различные параметры тонкой настройки, нам они без надобности, идём сразу в Action (Действие)
В поле To Addresses нужно указать адрес машины, на которую мы хотим переадресовать порт, в поле To Ports — соответственно, сам порт.
Чтобы не заморачиваться, вместо адреса пишу имя комьютера, и указываю порт:
И нажимаю кнопку Apply, роутер сам находит адрес машины:
Напоследок имеет смысл нажать Comment и указать комментарий для правила, чтобы в дальнейшем не приходилось вспоминать, что это за правило и зачем
Проброс портов в Микротике | 13g
Если порт на входе равен порту на выходе или пробросить нужно несколько портов одним правилом в поле «To port» можно ничего не писать: путем сканирования публичного IP-адреса соединения , чтобы получить тип своего общедоступного IP-адреса в Google какой у меня IP-адрес. Правило превентивной блокировки блокируем ботов пользователей сканирующих порты устройств в интернете, для поиска уязвимостей.
Публикация сервера на 2-ух внешних IP
Для начала следует прописать на сервере второй IP адресс из другой подсети на сетевом интерфейсе:
Идём в IP adresses и добавляем на сетевом интерфейсе ip 10.24.4.1/24 через который будет идти взаимодействие маршрутизатора с сервером:
Сделаем маршрут для второго провайдера с меткой route-1 для этого идём в IP/Route:
Создадим правило согласно которому сеть 10.24.4.0/24 роутится через второго провайдера:
К основному пробросу портов надо добавить проброс порта через второго провайдера:
Необходимо сделать также masquerade при обращении к 10.24.4.2 для того чтобы подключение ко второму IP WINDOWS работало:
MikroTik Проброс портов RDP и 80
Содержание
Публикуя свою персональную информацию в открытом доступе на нашем сайте вы, даете согласие на обработку персональных данных и самостоятельно несете ответственность за содержание высказываний, мнений и предоставляемых данных. Мы никак не используем, не продаем и не передаем ваши данные третьим лицам.