-1

我在虚拟服务器上安装了一个路由器操作系统,有 3 个接口:

局域网-192.168.1.1/24

wan-192.168.2.1/24

wifi-192.168.3.1/24

我有一个 PPOE 客户端通过 WAN 连接到 ISP 并获取静态公共 IP

xxxx

我有一个带有 DNS 的 Windows 服务器,LAN 接口上的 HTTP 服务和 WIFI 接口上的 1 个无线接入点。

我已经创建了阻止来自互联网的传入连接的规则,除了 80,53,...

我已经从我的公共 IPx.x.x.x到本地服务器 IP 创建了 dst-nat。另一个dst-nat从局域网到服务器的局域网IP地址。此外SRC NAT to masquradeLAN and WIFI与服务器的连接。另一个SRC-NAT访问互联网的伪装。

mikrotik DNS 服务还用于从我的本地服务器 DNS 服务获取记录和捕获。

一切正常,直到,我想在 WIFI 界面上创建热点服务。动态防火墙过滤器和 NAT 会破坏所有工作。

场景是WIFI用户通过认证访问互联网,本地免费访问本地服务器。局域网用户也可以免费上网。还可以从 Internet 对我的服务器进行公共 Web 访问。

提前致谢!

4

1 回答 1

0

注意:如果您只想直接回答,请跳至 TLDR。

这种配置比必要的复杂得多。我打算从内存中写下来,因为目前我手边没有未使用的路由器,但这应该可以。

我将在这里做一些假设:

  • 您不希望 WAN 或 PPPoE 中的任何人能够访问您的 LAN。
  • 除了 HTTP 或 DNS 之外,您不希望 WIFI 中的任何人能够访问您的 LAN。
  • 一旦一切正常并在您的服务器上启用 HTTPS,您完全打算返回。这个很重要!!!

首先,将一切设置为不受限制地工作。除了一个伪装条目外,没有任何规则。您想伪装所有不是发往 192.168.0.0/16 的流量。这条规则就是你所需要的。除非您想为 PPPoE 接口上的流量提供服务,否则不需要 DST-NAT 规则。

接下来,在 FORWARD 链下添加以下防火墙规则:

  • 接受所有已建立的和所有相关的流量(没有其他限制)。
  • 接受从 192.168.3.0/24 到 TCP 80,53,443 的目标是您的 Windows Server IP 地址。
  • 接受从 192.168.3.0/24 到 ICMP 的目标是您的 Windows 服务器 IP 地址。
  • 接受从 192.168.1.0/24 到 !192.168.0.0/16。这允许 LAN 访问 Internet。
  • 接受从 192.168.3.0/24 到 !192.168.0.0/16。这允许 WIFI 上网。
  • 放弃一切。

确保一切仍然有效。这些基本规则将至少为您的 LAN 提供一些保护,使其免受随机连接到您的 WIFI 的人的影响。这样,如果您曾经禁用热点以允许通过 Wifi 不受限制地访问,您的 LAN 仍然受到保护。

* TLDR *

现在您可以设置热点。最重要的部分在 IP -> Hotspot 下的 Walled Garden IP 列表选项卡上。您必须在此处添加条目,以允许在有人登录之前访问您想要运行的任何服务器,特别是您服务器的 HTTP、DNS 等服务。Hotspot 会将这些转换为自动为您创建的防火墙规则。

最后,如果我没有告诉你这不是一个完整的防火墙设置,我会失职,如果没有正确实施,这里会出现各种各样的问题。如果您对付费帮助感兴趣,我的电子邮件在我的个人资料中。

于 2017-07-11T21:49:29.603 回答