Настройка MikroTik — удалённая работа в Москве

Сетевое оборудование: роутер. В универе дали задачу. Устройство MikroTik является маршрутизатором, через который компьютеры выходят в Интернет. По приведенным ниже конфигурациям определите: 1. Почему из локальной сети не открываются интернет-сайты? 2. Что надо сделать для того, чтобы интернет-сайты открывались? Нужно дать ответы на конфигурацию 2 и 3. Первая была мной разрешена. Ниже будут примеры ответов и доп. Информация по ним. Конфигурация № 1 /ip/firewall/filter add action=accept chain=input comment=“accept established, related“ connection-state=established,related add action=drop chain=input comment=“drop invalid“ connection-state=invalid add action=accept chain=input comment=“accept ICMP“ protocol=icmp add action=accept chain=input comment=“accept SNMP“ dst-port=161 protocol=udp src-address=[Телефон скрыт] add action=accept chain=input comment=“accept WinBox“ dst-port=8291 protocol=tcp add action=drop chain=input comment=“drop all from not LAN“ in-interface=!bridge1 add action=accept chain=forward comment=“accept established, related“ connection-state=established,related add action=drop chain=forward comment=“drop invalid“ connection-state=invalid add action=drop chain=forward comment=“drop all from WAN not DSTNATed“ connection-nat-state=!dstnat in-interface=ether1-wan /ip/firewall/nat add action=dst-nat chain=dstnat comment=www dst-port=80 in-interface=ether1-wan protocol=tcp to-addresses=[Телефон скрыт] to-ports=80 add action=dst-nat chain=dstnat comment=“DVR for mobile devices“ in-interface=ether1-wan dst-port=5800 protocol=tcp to-addresses=[Телефон скрыт] to-ports=5800 Конфигурация № 2 /ip/firewall/filter add action=accept chain=input comment=“accept established, related“ connection-state=established,related add action=drop chain=input comment=“drop invalid“ connection-state=invalid add action=accept chain=input comment=“accept ICMP“ protocol=icmp add action=accept chain=input comment=“accept SNMP“ dst-port=161 protocol=udp src-address=[Телефон скрыт] add action=accept chain=input comment=“accept WinBox“ dst-port=8291 protocol=tcp add action=drop chain=input comment=“drop all from not LAN“ in-interface=!bridge1 add action=accept chain=forward comment=“accept established, related“ connection-state=established,related add action=drop chain=forward comment=“drop invalid“ connection-state=invalid add action=drop chain=forward comment=“drop all from WAN not DSTNATed“ connection-nat-state=!dstnat in-interface=ether1-wan /ip/firewall/nat add action=masquerade chain=srcnat out-interface=ether1-wan add action=dst-nat chain=dstnat comment=www dst-port=443 protocol=tcp to-addresses=[Телефон скрыт] to-ports=443 add action=dst-nat chain=dstnat comment=“DVR for mobile devices“ in-interface=ether1-wan dst-port=5800 protocol=tcp to-addresses=[Телефон скрыт] to-ports=5800 Конфигурация № 3 /ip/firewall/filter add action=accept chain=input comment=“accept established, related“ connection-state=established,related add action=drop chain=input comment=“drop invalid“ connection-state=invalid add action=accept chain=input comment=“accept ICMP“ protocol=icmp add action=accept chain=input comment=“accept SNMP“ dst-port=161 protocol=udp src-address=[Телефон скрыт] add action=accept chain=input comment=“accept WinBox“ dst-port=8291 protocol=tcp add action=drop chain=input comment=“drop all from not LAN“ in-interface=!bridge1 add action=drop chain=forward comment=“accept established, related“ connection-state=established,related add action=drop chain=forward comment=“drop invalid“ connection-state=invalid add action=drop chain=forward comment=“drop all from WAN not DSTNATed“ connection-nat-state=!dstnat in-interface=ether1-wan /ip/firewall/nat add action=masquerade chain=srcnat out-interface=ether1-wan add action=dst-nat chain=dstnat comment=www dst-port=443 in-interface=ether1-wan protocol=tcp to-addresses=[Телефон скрыт] to-ports=443 add action=dst-nat chain=dstnat comment=“DVR for mobile devices“ in-interface=ether1-wan dst-port=5800 protocol=tcp to-addresses=[Телефон скрыт] to-ports=5800 Ответ необходимо дать как в приведённом примере ниже. Мой ответы: Конфигурация № 1 Ответ: В разделе /ip/firewall/nat отсутствует правило для маскарадинга (action=masquerade), которое необходимо для трансляции внутренних адресов LAN в публичный IP при выходе в интернет: Необходимо добавить правило, которое будет подменять внутренние IP-адреса на внешний IP-адрес маршрутизатора в разделе /ip/firewall/nat: add action=masquerade chain=srcnat out-interface=ether1-wan comment=“NAT for LAN Internet access“ Конфигурация 2 Ответ: Необходимо предпоследним добавить правило в разделе /ip/firewall/filter цепочка forward из LAN в WAN, перед последним правилом в разделе (оно блокирует все запросы, пришедшие на WAN кроме проброшенных через NAT): add action=accept chain=forward in-interface=bridge1 out-interface=ether1-wan comment=“LAN to WAN“ Конфигурация 3 Ответ: 1. В разделе /ip firewall/filter Первое правило в цепочке forward должно быть action=accept, а не drop для established/related 2. В разделе /ip/firewall/filter цепочка forward Для разрешения трафика из локальной сети (LAN > WAN) должно быть правило accept в chain=forward, разрешающее этот трафик. Изменения в /ip/firewall/filter: 7ое правило должно быть 1ое в цепочке forward: add action=accept chain=forward comment=“accept established, related“ connection-state=established, related 9ым правилом добавляем разрешающее правило LAN à WAN: add action=accept chain=forward comment=“LAN to WAN allow“ in-interface=bridge1 out-interface=ether1-wan Обратная связь от проверяющего: Вы верно нашли ошибку в первой конфигурации, в третьей только одна ошибка, во второй не верно. В каждой конфигурации только одна ошибка и они не дублируются. Если ответ будет не правильным, может потребоваться доработка.