RouterOS 6.41版應用於設有伺服器的家用網路(三):Port forwarding/NAT loopback/防止DNS遞迴攻擊

Mikrotik RB450G外觀

建立Port forwarding
若要透過外網的IP或網址存取在Router之後的裝置,需透過埠轉送(Port forwarding)來達成,否則Router無法知道這一條連線是要通往內網的哪一個裝置(將外網IP port為XXXX的連線轉送至內網IP ***.***.***.*** port YYYY)。
/ip firewall nat
add action=dst-nat chain=dstnat comment="NAS Port forwarding" dst-address-type=local dst-port=XXXX log=yes protocol=tcp to-addresses=***.***.***.*** to-ports=YYYY

防止NAT loopback
當你在內網想要用外網的IP或網址來存取內網裡的裝置(伺服器)時,會出現無法存取的情況,但在外網卻沒有這個問題,此現象稱為NAT Loopback,在RouterOS的WIKI裡稱為Hairpin_NAT,裡面有詳盡的解說!

https://wiki.mikrotik.com/wiki/Hairpin_NAT

/ip firewall nat
add action=masquerade chain=srcnat dst-address=***.***.***.*** dst-port=***** protocol=tcp src-address=192.168.88.0/24

若在MultiWAN的狀況下,需加上這二條,我也沒有讀懂,反正加上去能用就是了(被揍飛)。
/ip firewall mangle
add action=accept chain=prerouting dst-address=192.168.88.0/24 src-address=192.168.88.0/24
add action=accept chain=prerouting dst-address-type=local src-address=192.168.88.0/24

防止DNS遞迴攻擊(WAN interface出現異常流量)
我把在內網裝置的DNS一律指向Router統一管理,所以在/ip DNS中需要勾選Allow Remote Requests!
/ip dns
set allow-remote-requests=yes servers=8.8.8.8,8.8.4.4,168.95.192.1,168.95.1.1

但開了這一條服務,外網的人也可以把你的Router當成DNS伺服器使用,所以如果在/interface裡看到WAN出現了莫名的流量,那就表示中招了,此時只要把來自外網的請求擋掉即可(當初發現這個問題時我還以為是攝影機一直傳東西出去)。
/ip firewall filter
add action=drop chain=input dst-port=53 in-interface-list=WAN protocol=udp
add action=drop chain=input dst-port=53 in-interface-list=WAN protocol=tcp

張貼留言