Все операции выполнять в подменю /ip firewall filter
Заблокировать все входящие на интерфейсе WAN
add chain=input action=drop in-interface=WAN
Заблокировать все транзитные на интерфейсе WAN
add chain=forward action=drop in-interface=WAN
Заблокировать атакующий IP
add chain=input action=drop in-interface=WAN src-address=XXX.XXX.XXX.XXX
add chain=forward action=drop in-interface=WAN src-address=XXX.XXX.XXX.XXX
Блокируем DNS запросы на внешний интерфейс WAN
add chain=input action=drop dst-port=53 protocol=tcp in-interface=WAN
add chain=input action=drop dst-port=53 protocol=udp in-interface=WAN
Все операции выполнять в подменю /ip firewall nat
Пробросить порты до WEB-сервера
Внимание: не забудьте отключить или перенести сервис с 80 и 443 портов MikroTik, т.к. у MikroTik имеется веб-интерфейс
add action=dst-nat chain=dstnat dst-port=80 protocol=tcp to-addresses=10.0.0.5 to-port=80
add action=dst-nat chain=dstnat dst-port=443 protocol=tcp to-addresses=10.0.0.5 to-port=443
Включить NAT
Не рекомендуемое правило
add chain=srcnat action=masquerade out-interface=WAN
Рекомендуемое правило
add chain=srcnat action=src-nat out-interface=WAN src-address=10.0.0.0/8 dst-address!=10.0.0.0/8 to-addresses=XXX.XXX.XXX.XXX
|