Eu tenho um 750Gl que eu tenho um servidor web por trás. Seu endereço é 10.30.1.70/24.
Eu tive um problema com ele sendo hackeado. Depois de reconstruí-lo e tentar consertar minhas vulnerabilidades, quero ir um pouco além, negando qualquer possível vírus de saída que possa passar no futuro. A maneira mais fácil de descobrir é fechar todas as portas de saída, exceto 53 e 80.
Quero permitir que meu servidor da Web obtenha atualizações, portanto, preciso permitir a porta de saída 80 e 53. Meu servidor da Web também está na porta 80.
Eu tentei algumas maneiras diferentes, mas não consigo fazer nada funcionar corretamente. Eu tentei as configurações abaixo. O primeiro funciona muito bem para bloquear tudo que sai, exceto as portas 80 e 53. Mas usá-lo parece anular minha porta para o mesmo servidor na porta 80. Como posso fazer isso funcionar?
/ip firewall filter
add chain=forward action=accept src-address=10.30.1.0/24 protocol=tcp dst-port=53
add chain=forward action=accept dst-address=10.30.1.0/24 protocol=tcp src-port=53
add chain=forward action=accept src-address=10.30.1.0/24 protocol=udp dst-port=53
add chain=forward action=accept dst-address=10.30.1.0/24 protocol=udp src-port=53
add chain=forward action=accept src-address=10.30.1.0/24 protocol=tcp dst-port=80
add chain=forward action=accept dst-address=10.30.1.0/24 protocol=tcp src-port=80
add chain=forward action=drop
Com um atacante assim:
/ip firewall nat
add action=dst-nat chain=dstnat comment="Access to Webserver NAT Rule" disabled=no \
dst-port=80 protocol=tcp to-addresses=10.30.1.70 to-ports=80