自定义 mikrotik 热点防火墙规则

Question

我在虚拟服务器上安装了一个路由器操作系统，有 3 个接口：

lan-192.168.1.1/24

wan-192.168.2.1/24

wifi-192.168.3.1/24

我有一个 PPOE 客户端通过 WAN 连接到 ISP 并获取静态公共 IP

x.x.x.x

我有一台带 DNS 的 windows 服务器，LAN 接口上有 HTTP 服务，WIFI 接口上有 1 个无线接入点。

我已经创建了阻止来自互联网的传入连接的规则，除了 80,53，...

我已经创建了从我的公共 IP x.x.x.x 到本地服务器 IP 的 dst-nat。 另一个从 LAN 到服务器 LAN IP 地址的dst-nat。 还有SRC NAT to masqurade、LAN and WIFI 与服务器的连接。 另一个SRC-NAT 访问互联网的伪装。

还有用于从我的本地服务器 DNS 服务获取记录和捕获的 mikrotik DNS 服务。

一切正常，直到，我想在 WIFI 接口上创建热点服务。 动态防火墙过滤器和 NAT 会破坏所有工作。

---

场景是WIFI用户通过认证访问互联网，本地免费访问本地服务器。 局域网用户也可以免费上网。 还可以通过 Internet 对我的服务器进行公共网络访问。

提前致谢！

Answer 1

注意：如果您只想直接回答，请跳至 TLDR。

这个配置比必要的复杂得多。我打算凭记忆写下来，因为目前我手边没有未使用的路由器，但是这个应该可以工作。

我在这里做一些假设：

• 您不希望 WAN 或 PPPoE 中的任何人能够访问您的 LAN。
• 您不希望 WIFI 中的任何人能够访问您的 LAN，HTTP 或 DNS 除外。
• 您完全打算在一切正常后返回并在您的服务器上启用 HTTPS。这很重要！！！

首先，设置一切以不受限制地工作。除了一个伪装条目外，没有任何规则。您想伪装所有不是发往 192.168.0.0/16 的流量。这条规则就是你所需要的。除非您想为 PPPoE 接口上的流量提供服务，否则不需要 DST-NAT 规则。

接下来，在 FORWARD 链下添加以下防火墙规则：

• 接受所有已建立的和所有相关的流量（没有其他限制）。
• 接受从 192.168.3.0/24 到 TCP 80,53,443，发往您的 Windows Server IP 地址。
• 接受来自 192.168.3.0/24 的 ICMP 指定您的 Windows Server IP 地址。
• 接受从 192.168.1.0/24 到 !192.168.0.0/16。这允许 LAN 访问 Internet。
• 接受从 192.168.3.0/24 到 !192.168.0.0/16。这允许 WIFI 上网。
• 删除其他所有内容。

确保一切正常。这些基本规则将至少为您的 LAN 提供一些保护，使其免受随机连接到您的 WIFI 的人的影响。这样，如果您曾经禁用热点以允许通过 Wifi 不受限制地访问，您的 LAN 仍然受到保护。

* TLDR *

现在您可以设置热点了。最重要的部分在 IP -> Hotspot 下的 Walled Garden IP 列表选项卡上。您必须在此处添加条目，以允许在有人登录之前访问您想要运行的任何服务器，特别是您的服务器的 HTTP、DNS 等服务。 Hotspot 会将这些转换为自动为您创建的防火墙规则。

最后，如果我没有告诉你这不是一个完整的防火墙设置，我会失职，如果没有正确实施，这里会出现各种各样的问题。如果您对付费帮助感兴趣，我的电子邮件在我的个人资料中。