我想限制可用于 Mikrotik 路由器上的伪装 NAT 的 TCP/UDP 端口。例如,我只想使用 40000-65535 TCP 端口范围和 20000-65535 UDP 端口范围进行伪装。其他端口将用于来自 WAN 的 DNAT。
总的来说我有两个问题:
- 如何严格指定可用于伪装 NAT 防火墙规则的端口范围?
- 如果没有指定限制,Mikrotik 是否可以跳过使用路由器自身打开的伪装端口(SSH、Telnet、WinBox 等)?
答案1
您可以为 TCP/UDP 创建 2 个额外的 NAT 规则。将第一个设置为匹配发往 WAN 的 TCP 数据包,并将操作设置为src-nat;然后指定正确的公共地址和端口范围。对 UDP 执行相同操作,然后在下面设置标准伪装规则以捕获其他任何内容。
它不会使用开放端口进行 NAT,虽然我不知道它使用的确切端口范围,但它肯定不会使用 22/23 这样的低端口号。但不确定它是否足够聪明,可以自动避开你设置dst-nat规则的端口。