Proteggere Routerboard con wan in dmz

da **routermaniak** » mer 27 set 2017, 14:45

Possiedo una rb2100 con la wan in dmz del modem router Tim! Questo al fine di essere raggiungibile da remoto con ddns! Quali sono le migliori filter rules per proteggere la wan senza perdere L uso del ddns?
Grazie

Inviato dal mio iPhone utilizzando Tapatalk

da **radiation** » mer 27 set 2017, 21:31

Ma cosa devi proteggere????
La LAN è già protetta......al limite puoi creare delle regole per la gestione della Routerboard stessa dai vari servizi: SSH, Telnet, FTP, Winbox ecc.
Io ad esempio consento l'uso di questi servizi solo dalle mie subnet pubbliche.

da **routermaniak** » mer 27 set 2017, 22:13

Pensavo che il dmz aprisse ogni porta sull ip della wan rb! Per cui pensavo che andasse regolamemtata la cosa.! E cmq la vpn l2tp da remoto esula dall apertura porte nel nat o no?

Inviato dal mio iPhone utilizzando Tapatalk

da **radiation** » mer 27 set 2017, 23:37

Certo che la DMZ espone direttamente la WAN del Mikrotik su internet (NAT1:1), ma questo non comporta particolari problemi alla routerboard essendo appunto un router......

Si, la VPN non ha bisogno di aprire porte se attestata direttamente al Mikrotik.

da **routermaniak** » gio 28 set 2017, 11:37

radiation ha scritto:Ma cosa devi proteggere????
La LAN è già protetta......al limite puoi creare delle regole per la gestione della Routerboard stessa dai vari servizi: SSH, Telnet, FTP, Winbox ecc.
Io ad esempio consento l'uso di questi servizi solo dalle mie subnet pubbliche.

Questo è interessante xke io ho chiuso da winbox le porte 21, 22 e 23 della rb in ip-service per impedire accessi da remoto! Però potrebbe essere utile far si che la subnet 3.0 ( della vpn ) e la 2.0 (la lan) li possano usare...

Inviato dal mio iPhone utilizzando Tapatalk

da **routermaniak** » ven 29 set 2017, 6:10

Come si può applicare?

Inviato dal mio iPhone utilizzando Tapatalk

da **radiation** » ven 29 set 2017, 7:17

Specificando la o le Subnet all’interno dei services; per ogni protocollo puoi specificare parametri diversi.

da **routermaniak** » ven 29 set 2017, 10:58

Quindi vado in ip-service , riabilito le porte che mi servono e da lì seleziono le subnet?

Inviato dal mio iPhone utilizzando Tapatalk

da **radiation** » ven 29 set 2017, 12:06

Si certo. Esatto. Puoi specificare più subnet anche e di lunghezza differente.