Skip to main content

Firewall

Créer un Nat

IP->Firewall->NAT

clique + Chain = srcnat Out. Interface List = WAN puis onglet Action Action: masquerade

ceci fait un nat par defaut. (Il y a des spécificités avec ipSec à voir dans la config de MikroTik)

Test: ping 8.8.8.8 src-address=192.168.10.1 depuis la console mikrotik

Passer du routeur dans le serveur NAS

Dans la config à la maison, il y a des configurations pour passer les appels sur des ports spécifiques dans le serveur NAS.

Trusted Ip

créer une liste de trusted ip

Firewall->addressLists

On peut ajouter une simple adresse ou un range ou full network 192.168.10.0/24 Dans la règle ajouter la liste dans Src address list

A retenir

Input paket destiné au routeur. Forward packet destiné a une machine de l'autre côté du routeur. output data qui part du routeur. si on fait une règle qui bloqur icpm(ping) avec chain = output, lorsqu'on utilise le terminal du routeur ils ne paseront pas mais depuis un ordi derrière le routeur ça passera. si on change chain = forward, le routeur pourra envoyer, mais les ordi derrière le routeur non.

Example intéressant : si on accepte seulement ssh en input et que l'on drop toutes les autres entrées. le retour d'une demande sera aussi droppé. (si on fait un ping depuis le terminal du serveur rien ne sera retourné) If faut donc ajouter une règle input Connection state established et related. et la mettre avant la règle de drop all