NAT Mikrotik上の特定のパブリックIPへのSMTP
ファイバー接続をMikrotikに提供していた覗き見がありましたが、その後、契約を別のプロバイダーに移動しました。彼らは、デバイスの構成を手伝いたくありません。私は必死に手を必要としています、私は私の深さの外にいます。
私たちはいくつかのパブリックIP 154.117.185.242を持っています-すべての通常のトラフィック、サーフィン、ゲストwifiはこの1つ154.117.185.243にあります。これで192.168.10.9:80 154.117.185.246
何らかの理由で154.117.185.243は主にブラックリストに登録されており、誰かがウイルスに感染していると思います。そこで、送信SMTP(ポート25)を154.117.185.242から154.117.185.244に移動して、トランザクションメールを確実に受信できるようにします。
このルールを作成しようとしました:srcnat src.add:192.168.10.157 protocol tcp port 25-> action src-nat to address 154.117.185.244 port 25(スクリーンショットを添付できればいいのですが)
しかし、それは何もしませんでした。
正直なところ、このルールの作成をどこから始めればよいのかさえわかりません。本当に助けが必要です。
ネットからの応答通信にも192.168.10.157:25に戻るルールが必要だと思いますが、それが必要な場合は、ウェブサーバールールの1つをかなりコピーしてポート番号を変更できると思います。それは私が本当に困惑している発信するもののルールです。
ありがとう
スティーブ
編集-エクスポートを追加:
# dec/20/2016 21:15:40 by RouterOS 6.30.4
# software id = UUL8-1EL2
#
/ip firewall filter
add action=drop chain=forward src-address=192.168.10.54
/ip firewall nat
add action=masquerade chain=srcnat
add action=dst-nat chain=dstnat dst-address=154.117.185.243 dst-port=80 protocol=tcp \
to-addresses=192.168.10.157 to-ports=80
add action=dst-nat chain=dstnat dst-address=154.117.185.243 dst-port=81 protocol=tcp \
to-addresses=192.168.10.241 to-ports=81
add action=dst-nat chain=dstnat dst-address=154.117.185.243 dst-port=82 protocol=tcp \
to-addresses=192.168.10.242 to-ports=82
add action=dst-nat chain=dstnat dst-address=154.117.185.245 dst-port=21-80 protocol=tcp \
to-addresses=192.168.10.9 to-ports=21-80
add action=src-nat chain=srcnat protocol=tcp src-address=192.168.10.157 src-port=25 \
to-addresses=154.117.185.245 to-ports=25
そして全体の設定:
# dec/22/2016 12:53:00 by RouterOS 6.30.4
# software id = UUL8-1EL2
#
/interface ethernet
set [ find default-name=ether1 ] comment="Bitco Fibre"
set [ find default-name=ether2 ] comment=Internal
set [ find default-name=ether3 ] comment=unused
set [ find default-name=ether5 ] comment="Guests Wifi"
set [ find default-name=ether6 ] comment=unused
/ip neighbor discovery
set ether1 comment="Bitco Fibre"
set ether2 comment=Internal
set ether3 comment=unused
set ether5 comment="Guests Wifi"
set ether6 comment=unused
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=dhcp_pool1 ranges=192.168.22.100-192.168.22.254
/ip dhcp-server
add address-pool=dhcp_pool1 disabled=no interface=ether5 lease-time=1d10m \
name=dhcp1
/snmp community
set [ find default=yes ] addresses=154.66.208.0/24
/ip address
add address=154.117.185.243/22 interface=ether1 network=154.117.184.0
add address=192.168.22.2/24 interface=ether5 network=192.168.22.0
add address=192.168.10.1/24 interface=ether2 network=192.168.10.0
add address=154.117.185.245/22 interface=ether1 network=154.117.184.0
add address=154.117.185.242/22 interface=ether1 network=154.117.184.0
add address=154.117.185.244/22 interface=ether1 network=154.117.184.0
/ip dhcp-server network
add address=192.168.22.0/24 dns-server=41.79.80.34,8.8.8.8 gateway=\
192.168.22.2
/ip dns
set allow-remote-requests=yes servers=41.79.80.34,8.8.8.8
/ip firewall filter
add action=drop chain=forward disabled=yes src-address=192.168.10.109
add action=drop chain=forward disabled=yes src-address=192.168.10.28
add action=drop chain=forward src-address=192.168.10.54
add action=drop chain=forward disabled=yes src-address=192.168.22.116
add action=drop chain=forward comment="BLOCK SPAMMERS OR INFECTED USERS" \
dst-port=25 protocol=tcp src-address-list=SPAMMER
add action=add-src-to-address-list address-list=SPAMMER address-list-timeout=\
23h59m59s chain=forward comment=\
"Detect and add-list SMTP virus or spammers" connection-limit=10,32 \
dst-port=25 limit=10,5 protocol=tcp
/ip firewall mangle
add action=mark-routing chain=prerouting dst-port=25 new-routing-mark=\
"Webserver SMTP" passthrough=no protocol=tcp src-address=192.168.10.157
/ip firewall nat
add action=masquerade chain=srcnat
add action=dst-nat chain=dstnat comment="webserver port 80" dst-address=\
154.117.185.243 dst-port=80 protocol=tcp to-addresses=192.168.10.157 \
to-ports=80
add action=dst-nat chain=dstnat comment=CCTV dst-address=154.117.185.243 \
dst-port=81 protocol=tcp to-addresses=192.168.10.241 to-ports=81
add action=dst-nat chain=dstnat comment="unused CCTV" dst-address=\
154.117.185.243 dst-port=82 protocol=tcp to-addresses=192.168.10.242 \
to-ports=82
add action=dst-nat chain=dstnat comment=xmpie dst-address=154.117.185.245 \
dst-port=80 protocol=tcp to-addresses=192.168.10.9 to-ports=21-80
/ip route
add comment="send web SMTP through 244" distance=1 gateway=154.117.185.244 \
routing-mark="Webserver SMTP" scope=255
add distance=1 gateway=154.117.185.217
/ip service
set telnet address=192.168.10.0/24
set ftp address=192.168.10.0/24 disabled=yes
set www address=192.168.10.0/24
set ssh address=192.168.10.0/24
set www-ssl address=192.168.10.0/24
set api address=192.168.10.0/24
set winbox address=192.168.10.0/24
set api-ssl address=192.168.10.0/24
/lcd
set time-interval=hour
/snmp
set enabled=yes
/system clock
set time-zone-name=Africa/Johannesburg
/system identity
set name=Bowens
/system routerboard settings
set protected-routerboot=disabled
/system script
add name=SPAMMERS owner=admin source=":log error \\\"----------Users detected \
like \\\
\n SPAMMERS -------------\\\";\
\n\\n:foreach i in \\[/ip firewall address-list find \\\
\n list=spammer\\] do={:set usser \\[/ip firewall address-list get \\\$\
i \\\
\n address\\];\
\n\\n:foreach j in=\\[/ip hotspot active find address=\\\$usser\\] \\\
\n do={:set ip \\[/ip hotspot active get \\\$j user\\];\
\n\\n:log error \\\$ip;\
\n\\n:log \\\
\n error \\\$usser} };\" policy=ftp,read,write,policy,test,winbox "
/tool graphing interface
add allow-address=192.168.10.0/24
/tool romon port
add
すでにメールサーバーが内部にある場合は、そのIPのルールが必要です。 ここ ウイルスに感染していることを示しています。ルーター設定を投稿できますか? /ip firewall export file=fwexport.txt
IPを変更しても問題は解決しません。感染したコンピュータを見つける必要があります。
編集
パケットマーキングを設定し、特定のマーキングを使用してSMTPトラフィックを特定のゲートウェイにルーティングする必要があります。 ここ および ここ を参照してください。 Webサーバーからのトラフィックのみをマークする必要があります。現時点では、テストするための予備のルーターはありません。しかし、あなたがアイデアを得ることを願っています。また、ゲストWi-FiでSMTPトラフィックをブロックします。 感染したユーザーまたはスパマーユーザーを自動検出し、SMTP出力を一時的にブロックする方法
/ip firewall filter add action=drop chain=forward disabled=yes dst-port=25 in-interface=wlan1 log=yes protocol=tcp
このルールは、wlan1インターフェイスからの25ポートのすべてのSMTPトラフィックをブロックします。ルールを修正したら、disabled=yesを削除するか、GUIで有効にします。