У меня есть 750Gl, что у меня есть веб-сервер. Его адрес 10.30.1.70/24.
У меня была проблема с тем, что его взломали. После его восстановления и, надеюсь, исправления моих уязвимостей, я хочу пойти немного дальше, отказавшись от любых возможных исходящих вирусов, которые могут проникнуть в будущем. Самый простой способ, который я могу выяснить, это закрыть все исходящие порты, кроме 53 и 80.
Я хочу разрешить моему веб-серверу получать обновления, поэтому мне нужно разрешить исходящий порт 80 и 53. Мой веб-сервер также находится на порте 80.
Я пробовал несколько разных способов, но я не могу заставить что-либо работать должным образом. Я попробовал конфиги ниже. Первый прекрасно работает, чтобы заблокировать все исходящие, кроме портов 80 и 53. Но его использование, по-видимому, сводит на нет мой порт перенаправления на тот же сервер на порт 80. Как я могу заставить это работать?
/ip firewall filter
add chain=forward action=accept src-address=10.30.1.0/24 protocol=tcp dst-port=53
add chain=forward action=accept dst-address=10.30.1.0/24 protocol=tcp src-port=53
add chain=forward action=accept src-address=10.30.1.0/24 protocol=udp dst-port=53
add chain=forward action=accept dst-address=10.30.1.0/24 protocol=udp src-port=53
add chain=forward action=accept src-address=10.30.1.0/24 protocol=tcp dst-port=80
add chain=forward action=accept dst-address=10.30.1.0/24 protocol=tcp src-port=80
add chain=forward action=drop
С таким нападающим:
/ip firewall nat
add action=dst-nat chain=dstnat comment="Access to Webserver NAT Rule" disabled=no \
dst-port=80 protocol=tcp to-addresses=10.30.1.70 to-ports=80