我在虚拟服务器上安装了一个路由器操作系统,有3个接口:
LAN-192.168.1.1 / 24
WAN-192.168.2.1 / 24
WiFi的192.168.3.1 / 24
我有一个PPOE客户端通过WAN连接到ISP并获取静态公共IP
X.X.X.X
我有一个带有DNS的Windows服务器,LAN接口上的HTTP服务,以及WIFI接口上的1个无线接入点。
我已经创建了阻止来自互联网的传入连接的规则,除了80,53,...
我已经从我的公共IP x.x.x.x创建了dst-nat到本地服务器IP。
从LAN到服务器LAN IP地址的另一个dst-nat。
此外,SRC NAT to masqurade,LAN and WIFI与服务器的连接。
另一个SRC-NAT masqurade用于访问互联网。
此外,mikrotik DNS服务用于从我的本地服务器DNS服务获取记录和捕获。
一切正常,直到我想在WIFI界面上创建热点服务。 动态防火墙过滤器和NAT会破坏所有工作。
方案是通过身份验证访问WIFI用户到本地和免费访问本地服务器。 此外,lan用户可以免费上网。 还可以从互联网上访问我的服务器。
提前致谢!
答案 0 :(得分:0)
注意:如果您只想直接回答,请跳至TLDR。
这种配置比必要的复杂得多。我要从内存中写下来,因为我现在没有一个未使用过的路由器,但应该工作。
我将在这里做一些假设:
首先,将所有内容设置为无限制地运行。除了单个伪装条目之外没有规则。您想要伪装目标为192.168.0.0/16的所有流量。这个规则就是您所需要的。除非您想为PPPoE接口上的流量提供服务,否则不需要DST-NAT规则。
接下来,在FORWARD链下添加以下防火墙规则:
确保一切仍然有效。这些基本规则将为您的局域网提供至少一些保护,使其无法连接到您的WIFI。这样,如果您禁用热点以允许通过Wifi进行无限制访问,那么您的局域网仍然受到保护。
* TLDR *
现在您可以设置热点了。最重要的部分是在您的围墙花园IP列表选项卡上,在IP - >下;热点。您必须在此处添加条目,以允许在有人登录之前访问您要运行的任何服务器,特别是您的服务器的HTTP,DNS等服务。 Hotspot会将这些内容转换为自动创建的防火墙规则。
最后,如果我没有告诉你这不是一个完整的防火墙设置,并且如果事情没有正确实施,那么各种各样的东西可能会出错,我会疏忽。如果您对付费帮助感兴趣,我的电子邮件就在我的个人资料中。