文档建议反馈控制台
首页
学习
活动
专区
圈层
工具
MCP广场
文章/答案/技术大牛
发布
社区首页 >问答首页 >Mikrotik - WAN/DMZ使用桥

Mikrotik - WAN/DMZ使用桥
EN

Server Fault用户
提问于 2019-03-30 20:10:35
回答 1查看 4.4K关注 0票数 0

我不确定我要用正确的方式.

我有来自我的ISP的3个静态IP,它们都在同一个子网中,具有相同的网关。一个地址用于桥接器上的路由器(RB3011 - 6.43.8),端口1-3.ISP插入端口1,端口2和3用于for服务器和电子邮件服务器。LAN在端口5上,我的工作台(客户设备)的一个独立的LAN在使用端口6-8的桥上。

我不能让IP过滤规则起作用。我想设置过滤规则,只允许流量到指定端口上的web服务器和电子邮件服务器,同时阻塞所有端口到局域网子网。

我做错什么了?

代码语言:javascript
复制
/interface bridge 
add name=bridge1-Internet 
add name=bridge2-WorkRoom 
/interface wireless security-profiles 
set [ find default=yes ] supplicant-identity=MikroTik
/tool user-manager customer
set admin access=own-routers,own-users,own-profiles,own-limits,config-payment-gw
/interface bridge port
add bridge=bridge1-Internet interface=ether1
add bridge=bridge1-Internet interface=ether2
add bridge=bridge1-Internet interface=ether3
add bridge=bridge2-WorkRoom interface=ether6
add bridge=bridge2-WorkRoom interface=ether7
add bridge=bridge2-WorkRoom interface=ether8
/interface bridge settings
set use-ip-firewall=yes
/ip address
add address=10.10.99.5/24 interface=ether5 network=10.10.99.0
add address=10.10.97.1/25 interface=bridge2-WorkRoom network=10.10.97.0
add address=207.174.237.157/24 interface=bridge1-Internet network=207.174.237.0
/ip firewall filter
add action=accept chain=input connection-state=established,related\
        in-interface=bridge1-Internet
add action=accept chain=input dst-address=207.174.237.241 dst-port=25,80,443,995\
        in-interface=bridge1-Internet protocol=tcp
add action=accept chain=input in-interface=bridge1-Internet protocol=icmp
add action=drop chain=input in-interface=bridge1-Internet
/ip firewall nat
add action=masquerade chain=srcnat out-interface=bridge1-Internet
add action=dst-nat chain=dstnat dst-address=207.174.237.157\
        dst-port=80 protocol=tcp to-addresses=10.10.99.8
/ip route
add distance=1 gateway=207.174.237.1
/tool user-manager database
set db-path=user-manager
firewall
mikrotik
routeros
EN

回答 1

Server Fault用户

发布于 2019-04-01 13:36:55

这是因为set use-ip-firewall=yes‘强制通过IP路由的预路由、转发和后处理来处理桥接通信’(桥_设置)

使用网桥就像在路由器前使用4个端口(isp-eth2-eth3-路由器)的硬件交换机。add action=accept chain=input dst-address=207.174.237.241 dst-port=25,80,443,995 in-interface=bridge1-Internet protocol=tcp -这个规则允许tcp用于路由器,并且在桥接器内不起任何作用。

票数 0
EN
页面原文内容由Server Fault提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:

https://serverfault.com/questions/960784

复制
相关文章

相似问题

领券

腾讯云开发者

扫码关注腾讯云开发者

扫码关注腾讯云开发者

领取腾讯云代金券

热门产品

热门推荐

更多推荐

Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有 

深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 粤公网安备44030502008569号

腾讯云计算(北京)有限责任公司 京ICP证150476号 |  京ICP备11018762号

问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档