» MikroTik RouterOS

klunker
предлагаю не геморроиться и получать с Мелкотика NetFlow-статистику (IP -> TrafficFlow, насколько помню)

Оч. ивиняюсь, еще вопрос возник - хочу ограничить доступ к микротику в файерволе по принципу "Можно всем, кроме...", как результат, получаю "Можно всем".
Если пробую сделать "Нельзя всем, кроме..." - работает правильно. Причем в качестве источника траффика выбираю хоть IP, хоть интерфейс - одинаково. Реально ли добиться "Можно всем, кроме...", и что я делаю не так? Хелп...

bazzzilio
к сожалению, в фаерволе нет команды "Можно всем, кроме". там вообще нет команд с кириллическими символами. поэтому, дабы не гадать, ждём ваших конкретных правил - их и будем исправлять. в Мелкотике можно сделать почти всё

Chupaka
ip firewall filter
chain=input action=accept in-interface=!ether3 - дает доступ всем, в т.ч. и ether3
chain=input action=drop in-interface=!ether3 - отшибает доступ всем, кроме ether3
Так же и с IP

bazzzilio

Цитата:

ip firewall filter
chain=input action=accept in-interface=!ether3 - дает доступ всем, в т.ч. и ether3
chain=input action=drop in-interface=!ether3 - отшибает доступ всем, кроме ether3
Так же и с IP

а что именно ты хочешь сделать? возможно ты просто не в той цепочке правила вешаешь, или порядок неверный. от порядка тоже много что зависит.

Raredemon
Ну, есть 5 физических интерфейсов, и 2 (пока) логических. Хочу разрешить доступ к микротику со всех, кроме одного. Очередность не при делах, т.к. срабатывает именно это правило (вижу по счетчикам). И даже если после
chain=input action=accept in-interface=!ether3 вписать
chain=input action=drop, верхнее срабатывает, и с ether3 есть коннект.

Если chain=input action=drop in-interface=!ether3 все путем, ниоткуда не могу коннектится, кроме как с ether3.

Т.е., на drop правило работает правильно, а на accept - нет. Где я что не так делаю?

Ну начну с того что по интерфейсам резать это не особо верно, гораздо правильней делать списки типа такого (не так давно я тут публиковал скрипт для настройки микротика, вырезано оттуда):

Код: add chain=input action=accept connection-state=invalid comment="Drop invalid connection"
add chain=input action=accept dst-port=22 protocol=tcp src-address-list=Trusted comment="Разрешает ssh от Trusted адрес-листа"
add chain=input action=accept dst-port=8291 protocol=tcp src-address-list=Trusted comment="Разрешает winbox от Trusted адрес-листа"
add chain=input action=accept connection-state=established comment="Разрешает established connections"
add chain=input action=accept connection-state=related comment="Разрешает related connections"
add chain=input action=accept protocol=icmp comment="Разрешает ICMP"
add chain=input src-address=xx.xx.xx.xx protocol=tcp dst-port=179 action=accept comment="Разрешает BGP"
add chain=input action=drop comment="Дропает все остальное направленное на этот хост"

Цитата:

add chain=input action=accept connection-state=invalid comment="Drop invalid connection"

это супер... action=accept, а в каменте - drop =)

Добавлено:

Цитата:

chain=input action=accept in-interface=!ether3

у меня на v3.14 работает так, как и должно. какая версия мелкотика?

[admin@MikroTik] > ip firewall mangle print dynamic
Flags: X - disabled, I - invalid, D - dynamic
0 D chain=forward out-interface=<pptp-ban> protocol=tcp tcp-flags=syn action=change-mss new-mss=1420

1 D chain=forward in-interface=<pptp-adm> protocol=tcp tcp-flags=syn action=change-mss new-mss=1360

2 D chain=forward out-interface=<pptp-adm> protocol=tcp tcp-flags=syn action=change-mss new-mss=1420

3 D chain=forward in-interface=<pptp-vadim> protocol=tcp tcp-flags=syn action=change-mss new-mss=1360

4 D chain=forward out-interface=<pptp-vadim> protocol=tcp tcp-flags=syn action=change-mss new-mss=1420



что это начало у меня в фаерволе появляться, как то раньше этого не наблюдалось...
подскажите что эти правила значат, и откуда у них ноги растут..

Chupaka
Версия 3.10. А ткните носом, плз, как его проапдейтить...


PS. Всё, вопрос снят, проапгрейдил

PPS. Но правило так и не работает

bazzzilio
результат - ?

и снова здравствуйте
требуется сделать переадресацию одного порта, но что бы с мира мог зайти только один ИП. Так получилось сделать для всех, а как ограничить только для одного ???

6 chain=dstnat action=dst-nat to-addresses=10.0.1.99 to-ports=22
dst-address=xx.xx.xx.xx

7 chain=srcnat action=src-nat to-addresses=xx.xx.xx.xx to-ports=22
src-address=10.0.1.99

как насчёт

Цитата:

6 chain=dstnat action=dst-nat to-addresses=10.0.1.99 to-ports=22
dst-address=xx.xx.xx.xx

сменить на

Цитата:

6 chain=dstnat action=dst-nat to-addresses=10.0.1.99 to-ports=22
dst-address=xx.xx.xx.xx src-address=yy.yy.yy.yy

?

Chupaka

Цитата:

bazzzilio
результат - ?

Цитата:

PPS. Но правило так и не работает

Stupido
Вроде так:

Код: chain=dstnat src-address=адрес заходящего из мира dst-address=внешний адрес шлюза protocol=tcp\udp dst-port=хххх action=dst-nat to-addresses=внутренний адрес to-ports=хххх

bazzzilio
не надо в цитате выделять болдом. я своё сообщение отправил за шесть минут до того, как ты в своём это дописал

altshift
как я и сказал только
Цитата:

protocol=tcp\udp

уж очень ограничивает область применения - а как же icmp, например? =)

Chupaka
altshift

Так мне только 2 порта надо, 22 и 80, так что скорее TCP

спасибо!

Chupaka
Пардон. Второпях не заметил твоего поста

altshift
Chupaka


Код:
7 chain=srcnat action=src-nat to-addresses=xx.xx.xx.xx to-ports=22
src-address=10.0.1.99

Stupido
Нет

Stupido
если весь исходящий трафик на аплинковый интерфейс уже маскарадится - то это правило излишне. если ещё не маскарадится - давно пора это сделать и смотреть часть "если уже маскарадится" =)

Решил сделать авторизацию через радиус сервер
всё получилось, но тут возникла такая проблема, стали подвисать сесии pptp
убрал радиус сессии вс равно подвисают((
что могло с моим микротиком случиться??
Версия 2.9.27

GawkV
в каком смысле подвисать?
попробовать переустановку...

подвисают т.е. пользователь уже отключился а соединение есть

Добавлено:
есть сеть 10.10.0.0/24 для них шлюз 10.20.0.2 (Eth2)
нужно для некоторых адресов 10.10.0.0/24 сделать шлюз 10.30.0.2 (Eth3)

возможно ли это на микротике??

Chupaka

понял, спасибо! уже давно маскарадится

GawkV
/ip firewall mangle add src-address=10.10.1.2 action=mark-routing new-routing-mark=preved

/ip route add gateway=10.30.0.2 routing-mark=preved

Прошу хелпу... Каким образом можно пометить (соединение?, пакеты?), идущие в нет ч-з встроенный web-proxy для последующего шейпинга? То, что идет без прокси, регулируется на ура, а вот проксевый трафик - никак...

bazzzilio
/ip firewall mangle add chain=output protocol=tcp dst-port=80 action=mark-* new-*-mark=preved

Chupaka
Либо кривые руки, либо не работает.
Т.е., некоторый трафик маркируется, но при закачке 200 кБ/с в правиле показывает статистику ~20кбит/с. Как результат, чел, запустивший закачку ч-з прокси, выгребает весь трафик

bazzzilio
что хотим ограничить? какая архитектура сети? если трафик пользователя - тогда надо маркировать и ограничивать трафик, который форвардится на пользователя (chain=forward), плюс исходящий с роутера трафик к пользователю (chain=output). это даунлоад. в аплоаде - соответственно forward и input