我有一台 750Gl,后面有一个网络服务器。它的地址是 10.30.1.70/24。
我遇到了被黑客入侵的问题。重建它并希望修复我的漏洞后,我想更进一步,拒绝任何可能在未来通过的传出病毒。我能想到的最简单的方法是关闭除 53 和 80 之外的所有传出端口。
我想允许我的网络服务器获取更新,因此我需要允许传出端口 80 和 53。我的网络服务器也在端口 80 上。
我尝试了几种不同的方法,但都无法正常工作。我尝试了以下配置。第一种可以很好地阻止除端口 80 和 53 之外的所有传出。但使用它似乎会使我的端口转发到端口 80 上的同一服务器无效。我该如何让它工作?
/ip firewall filter
add chain=forward action=accept src-address=10.30.1.0/24 protocol=tcp dst-port=53
add chain=forward action=accept dst-address=10.30.1.0/24 protocol=tcp src-port=53
add chain=forward action=accept src-address=10.30.1.0/24 protocol=udp dst-port=53
add chain=forward action=accept dst-address=10.30.1.0/24 protocol=udp src-port=53
add chain=forward action=accept src-address=10.30.1.0/24 protocol=tcp dst-port=80
add chain=forward action=accept dst-address=10.30.1.0/24 protocol=tcp src-port=80
add chain=forward action=drop
像这样:
/ip firewall nat
add action=dst-nat chain=dstnat comment="Access to Webserver NAT Rule" disabled=no \
dst-port=80 protocol=tcp to-addresses=10.30.1.70 to-ports=80
答案1
您所提议的问题在于,与 Web 服务器的连接来自随机的高端口,而不是 80。因此,如果采用这种做法,它将无法提供网页。因此,您所做的正是您所尝试的,但您尝试做的事情从根本上来说存在缺陷。