cyb_x Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору     Официальный сайт : http://www.mikrotik.com   Данная тема создана для обмена информацией по вопросам и проблемам настройки MikroTik RouterOS Тема в варезнике       Официальная документация: http://wiki.mikrotik.com/wiki/Category:Manual для версии 3.х http://www.mikrotik.com/testdocs/ros/3.0/ для версии 2.9.х http://www.mikrotik.com/docs/ros/2.9/ для версии 2.8.х http://www.mikrotik.com/docs/ros/2.8/ RouterOS Packet Flow: http://wiki.mikrotik.com/wiki/Packet_Flow (важно знать для понимания сути происходящего в файрволе и шейпере)   Обмен опытом пользователей MikroTik RouterOS: http://wiki.mikrotik.com/wiki/Main_Page     Обсуждение ROS: Раздел форума PCRouter, посвященный MikroTik RouterOS Раздел форума DriverMania. Много полезного.   Статьи: Краткий FAQ по настройке (первоисточник). Объединяем офисы с помощью Mikrotik Делим Интернет или QoS на Mikrotik (первоисточник). Установка и настройка ABillS + Mikrotik на Gentoo Linux. Всего записей: 81 | Зарегистр. 18-10-2004 | Отправлено: 19:58 14-01-2006 | Исправлено: ShriEkeR, 15:58 02-09-2009

Chupaka Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору klunker предлагаю не геморроиться и получать с Мелкотика NetFlow-статистику (IP -> TrafficFlow, насколько помню) Всего записей: 3719 | Зарегистр. 05-05-2006 | Отправлено: 02:09 24-09-2008

bazzzilio Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Оч. ивиняюсь, еще вопрос возник - хочу ограничить доступ к микротику в файерволе по принципу "Можно всем, кроме...", как результат, получаю "Можно всем". Если пробую сделать "Нельзя всем, кроме..." - работает правильно. Причем в качестве источника траффика выбираю хоть IP, хоть интерфейс - одинаково. Реально ли добиться "Можно всем, кроме...", и что я делаю не так? Хелп... Всего записей: 388 | Зарегистр. 24-10-2005 | Отправлено: 11:09 24-09-2008

Chupaka Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору bazzzilio к сожалению, в фаерволе нет команды "Можно всем, кроме". там вообще нет команд с кириллическими символами. поэтому, дабы не гадать, ждём ваших конкретных правил - их и будем исправлять. в Мелкотике можно сделать почти всё Всего записей: 3719 | Зарегистр. 05-05-2006 | Отправлено: 12:55 24-09-2008

bazzzilio Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Chupaka ip firewall filter chain=input action=accept in-interface=!ether3 - дает доступ всем, в т.ч. и ether3 chain=input action=drop in-interface=!ether3 - отшибает доступ всем, кроме ether3 Так же и с IP Всего записей: 388 | Зарегистр. 24-10-2005 | Отправлено: 15:23 24-09-2008

Raredemon Advanced Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору bazzzilio Цитата: ip firewall filter   chain=input action=accept in-interface=!ether3 - дает доступ всем, в т.ч. и ether3   chain=input action=drop in-interface=!ether3 - отшибает доступ всем, кроме ether3   Так же и с IP а что именно ты хочешь сделать? возможно ты просто не в той цепочке правила вешаешь, или порядок неверный. от порядка тоже много что зависит. ---------- Designed for Windows XP. Powered by Gentoo! Бесполезно рассказывать о высоком моральном облике коллектива человеку, имеющему доступ к логу прокси.... Всего записей: 1787 | Зарегистр. 03-09-2003 | Отправлено: 15:38 24-09-2008

bazzzilio Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Raredemon Ну, есть 5 физических интерфейсов, и 2 (пока) логических. Хочу разрешить доступ к микротику со всех, кроме одного. Очередность не при делах, т.к. срабатывает именно это правило (вижу по счетчикам). И даже если после   chain=input action=accept in-interface=!ether3 вписать   chain=input action=drop, верхнее срабатывает, и с ether3 есть коннект.   Если chain=input action=drop in-interface=!ether3  все путем, ниоткуда не могу коннектится, кроме как с ether3.   Т.е., на drop правило работает правильно, а на accept - нет. Где я что не так делаю? Всего записей: 388 | Зарегистр. 24-10-2005 | Отправлено: 15:50 24-09-2008

Raredemon Advanced Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Ну начну с того что по интерфейсам резать это не особо верно, гораздо правильней делать списки типа такого (не так давно я тут публиковал скрипт для настройки микротика, вырезано оттуда): Код: add chain=input action=accept connection-state=invalid comment="Drop invalid connection" add chain=input action=accept dst-port=22 protocol=tcp src-address-list=Trusted comment="Разрешает ssh от Trusted адрес-листа" add chain=input action=accept dst-port=8291 protocol=tcp src-address-list=Trusted comment="Разрешает winbox от Trusted адрес-листа" add chain=input action=accept connection-state=established comment="Разрешает established connections" add chain=input action=accept connection-state=related comment="Разрешает related connections" add chain=input action=accept protocol=icmp comment="Разрешает ICMP" add chain=input src-address=xx.xx.xx.xx protocol=tcp dst-port=179 action=accept comment="Разрешает BGP" add chain=input action=drop comment="Дропает все остальное направленное на этот хост" далее вроде такого идет фильтрация форварда и т.д. ---------- Designed for Windows XP. Powered by Gentoo! Бесполезно рассказывать о высоком моральном облике коллектива человеку, имеющему доступ к логу прокси.... Всего записей: 1787 | Зарегистр. 03-09-2003 | Отправлено: 16:14 24-09-2008

Chupaka Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Цитата: add chain=input action=accept connection-state=invalid comment="Drop invalid connection" это супер... action=accept, а в каменте - drop =)   Добавлено: Цитата: chain=input action=accept in-interface=!ether3   у меня на v3.14 работает так, как и должно. какая версия мелкотика? Всего записей: 3719 | Зарегистр. 05-05-2006 | Отправлено: 18:49 24-09-2008

GawkV Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору [admin@MikroTik] > ip firewall mangle print dynamic   Flags: X - disabled, I - invalid, D - dynamic    0 D chain=forward out-interface=<pptp-ban> protocol=tcp tcp-flags=syn action=change-mss new-mss=1420      1 D chain=forward in-interface=<pptp-adm> protocol=tcp tcp-flags=syn action=change-mss new-mss=1360      2 D chain=forward out-interface=<pptp-adm> protocol=tcp tcp-flags=syn action=change-mss new-mss=1420      3 D chain=forward in-interface=<pptp-vadim> protocol=tcp tcp-flags=syn action=change-mss new-mss=1360      4 D chain=forward out-interface=<pptp-vadim> protocol=tcp tcp-flags=syn action=change-mss new-mss=1420         что это начало у меня в фаерволе появляться, как то раньше этого не наблюдалось... подскажите что эти правила значат, и откуда у них ноги растут.. Всего записей: 221 | Зарегистр. 09-06-2006 | Отправлено: 23:01 24-09-2008

bazzzilio Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Chupaka Версия 3.10. А ткните носом, плз, как его проапдейтить...     PS. Всё, вопрос снят, проапгрейдил   PPS. Но правило так и не работает Всего записей: 388 | Зарегистр. 24-10-2005 | Отправлено: 09:24 25-09-2008 | Исправлено: bazzzilio, 12:11 25-09-2008

Chupaka Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору bazzzilio результат - ? Всего записей: 3719 | Зарегистр. 05-05-2006 | Отправлено: 12:05 25-09-2008

Stupido Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору и снова здравствуйте требуется сделать переадресацию одного порта, но что бы с мира мог зайти только один ИП. Так получилось сделать для всех, а как ограничить только для одного ???    6   chain=dstnat action=dst-nat to-addresses=10.0.1.99 to-ports=22        dst-address=xx.xx.xx.xx    7   chain=srcnat action=src-nat to-addresses=xx.xx.xx.xx to-ports=22        src-address=10.0.1.99   Всего записей: 936 | Зарегистр. 05-08-2008 | Отправлено: 12:13 25-09-2008

Chupaka Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору как насчёт   Цитата: 6   chain=dstnat action=dst-nat to-addresses=10.0.1.99 to-ports=22        dst-address=xx.xx.xx.xx   сменить на Цитата: 6   chain=dstnat action=dst-nat to-addresses=10.0.1.99 to-ports=22        dst-address=xx.xx.xx.xx src-address=yy.yy.yy.yy   ? Всего записей: 3719 | Зарегистр. 05-05-2006 | Отправлено: 12:48 25-09-2008

bazzzilio Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Chupaka Цитата: bazzzilio результат - ? Цитата: PPS. Но правило так и не работает   Всего записей: 388 | Зарегистр. 24-10-2005 | Отправлено: 13:36 25-09-2008

altshift Advanced Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Stupido Вроде так: Код: chain=dstnat src-address=адрес заходящего из мира dst-address=внешний адрес шлюза protocol=tcp\udp dst-port=хххх action=dst-nat to-addresses=внутренний адрес to-ports=хххх   Если я ошибся, надеюсь более грамотные меня поправят ---------- А мы их душили, душили... Всего записей: 1675 | Зарегистр. 24-10-2004 | Отправлено: 16:36 25-09-2008

Chupaka Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору bazzzilio не надо в цитате выделять болдом. я своё сообщение отправил за шесть минут до того, как ты в своём это дописал   altshift как я и сказал только Цитата: protocol=tcp\udp уж очень ограничивает область применения - а как же icmp, например? =) Всего записей: 3719 | Зарегистр. 05-05-2006 | Отправлено: 17:10 25-09-2008

Stupido Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Chupaka altshift   Так мне только 2 порта надо, 22 и 80, так что скорее TCP   спасибо! Всего записей: 936 | Зарегистр. 05-08-2008 | Отправлено: 17:56 25-09-2008

altshift Advanced Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Chupaka Пардон. Второпях не заметил твоего поста ---------- А мы их душили, душили... Всего записей: 1675 | Зарегистр. 24-10-2004 | Отправлено: 08:08 26-09-2008

Stupido Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору altshift Chupaka   Код:    7   chain=srcnat action=src-nat to-addresses=xx.xx.xx.xx to-ports=22        src-address=10.0.1.99       а это правило требуется для корректной работы ? Всего записей: 936 | Зарегистр. 05-08-2008 | Отправлено: 10:05 26-09-2008

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » MikroTik RouterOS

ShriEkeR (15-09-2009 14:27): лимит страниц. продолжаем в MikroTik RouterOS (часть 2)

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование