M. - děkuji, udělám to ve formě ad.domena.cz
Síť pro návštěvy mám v plánu, nejdřív se musím zbavit toho tplinku, díky za info, o těchto možnostech mikrotiku jsem nevěděl.
Na mikrotiku jsem zprovoznil OpenVPN - v režimu L2, podle tohoto threadu:
https://forum.root.cz/index.php?topic=10245.0 (ještě jednou děkuji M.)
Stavový firewall se snažím používat:
Pravidla na iput mám nastavena takto:
accept input icmp
accept input established
accept input related
drop input invalid
accept input tcp 1194 -(pro openVPN - měl bych tady přidat: Connection State new?)
accept input src address: (ip rozsah LAN) tcp 22 In. Interface bridge-LAN new -(přístup SSH na RB z LAN)
accept input src address: (ip rozsah LAN) tcp 80 In. Interface bridge-LAN new -(přístup WEBFIG na RB z LAN)
accept input src address: (ip rozsah LAN) tcp 8291In. Interface bridge-LAN new -(přístup WINBOX na RB z LAN)
accept input src address: (ip rozsah LAN) udp 53 -(DNS z LAN měl bych tady přidat: Connection State new?)
accept input src address: (ip rozsah LAN) tcp 53 -(DNS z LAN měl bych tady přidat: Connection State new?) - tady neprošly žádné pakety
drop input
V pravidlech pro port 53 mám nastavený ip rozsah LAN, takže bych čekal, že DNS bude fungovat jen z LAN a zbytek skončí v drop, ale podle toho testu z HKFree DNS funguje i z venku( na veřejnou IP mikrotiku), jak je to možné?
Jak to změnit, aby to bylo zabezpečené?
Co se týká forwardu, tak všechna komunikace z LAN do internetu je povolena
Provoz z internetu do LAN je povolen jen pro mailserver. (Vím že by mailserver měl být v DMZ, ale zatím je to nerealizovatelné)