Citat:
roppe: chain=forward protocol=udp dst-port=53 action=accept
Obzirom da njemu mikrotik odradjue dns upite, trebalo bi valjda da bude chain input i jos jedno pravilo za output, a ne forward. A i trebalo bi isto to i za tcp port 53, jer se i on koristi za dns upite, doduse manje, ali ga ipak koriste neki programi.
Dakle:
chain=input protocol=udp dst-port=53 action=accept
chain=input protocol=tcp dst-port=53 action=accept
chain=output protocol=udp src-port=53 action=accept
chain=output protocol=tcp src-port=53 action=accept
Mada je mozda bolje pitanje zasto ograniciti sav input sa neta? Za tim nema potrebe ako se fino izfiltrira nepozeljan saobracaj, a svakako je korisno imati pusten input sa neta na tiku, na primer da mozes ko covek da pingujes kad radis neki troubleshouting, ili sta ti ja znam. Sve u svemu, moje misljenje je da treba izfiltrirati samo brute force, iskljuciti sve servise osim winboxa i ssh, i staviti dobru sifru. Eventualno dozvoliti pristup samo pojedinim ip adresama, i to po portovima 22 i 8291, za ssh i winbox, a ostale portove slobodno mozes da ostavis otvorene, ne znam sta bi mogao neko sa njima da napravi.