私は750Glを持っていますが、背後にWebサーバーがあります。そのアドレスは10.30.1.70/24です。
ハッキングされて問題がありました。それを再構築し、うまくいけば私の脆弱性を修正した後、私は将来さらに通過するかもしれないどんな可能な発信ウイルスも否定することによってもう少し行きたいです。私が理解することができる最も簡単な方法は53を除いてすべての発信ポートを閉じることです。 80。
ウェブサーバーにアップデートを許可したいので、発信ポート80を許可する必要があります。 53.私のウェブサーバーもポート80にあります。
私はいくつかの方法を試してみましたが、何も正しく動作させることができません。 以下の設定を試してみました。 1つ目は、ポート80を除くすべての発信をブロックするのに最適です。 53.しかしそれを使用するとポート80の同じサーバーに転送される私のポートを無効にするようです。
/ip firewall filter
add chain=forward action=accept src-address=10.30.1.0/24 protocol=tcp dst-port=53
add chain=forward action=accept dst-address=10.30.1.0/24 protocol=tcp src-port=53
add chain=forward action=accept src-address=10.30.1.0/24 protocol=udp dst-port=53
add chain=forward action=accept dst-address=10.30.1.0/24 protocol=udp src-port=53
add chain=forward action=accept src-address=10.30.1.0/24 protocol=tcp dst-port=80
add chain=forward action=accept dst-address=10.30.1.0/24 protocol=tcp src-port=80
add chain=forward action=drop
このような前向きで:
/ip firewall nat
add action=dst-nat chain=dstnat comment="Access to Webserver NAT Rule" disabled=no \
dst-port=80 protocol=tcp to-addresses=10.30.1.70 to-ports=80