» MikroTik RouterOS (часть 2)

=( спс

всем доброго времени суток,
я новичек в этом деле, поэтому задам ламерский вопрос про альтернативные ОС на рутербордах:

Скажите пожалуйста, как поставить дебиан на мою железку? (дебиан с оф сайта не подходит, другие цели)
....в том смысле, что если я хочу поставить и грузить через компакт флеш, дистр надо делать-компилить самому, или можно каким-то образом взять .исо для мипс архитектуры на сайте дебиана? англоязычные гайды пугают, может кто что посоветовать?

на столе лежит routerboard 532 и рядом компакт флеш карта - ждут своего звёздного часа.

спа-си-бо!

Добрый вечер всем, скажите пожалуйста как на микротике писать скрипты(посоветуйте какой-нибудь ман).

Цитата:

как на микротике писать скрипты

http://wiki.mikrotik.com/wiki/Manual:Scripting

Да понимаю что много времени прошло, но как-то руки все не доходили, но все же хотелось бы решить вопрос(внутренний интерес очень велик). Вопрос отностельно экспорта ARP листа в момент максимальной загрузки сервера.
Chupaka

Цитата:

экспорт не отработал? прикольно... а что говорит?

Он выдает файлик в который записывает две строки:

Цитата:

# may/10/2010 23:11:12 by RouterOS 3.20
# software id = ILTS-NX0

И все.
p.s. вообще задача немного иная, есть адрес лист сформерованный - хотелось бы его исправить и создать правила файрволла с привязкой мак адреса, соответственно мак брать в arp листе и перенести в правила файрволла. Я думаю что наверное самым оптимальным будет это экспорт ARP листа, после скрипт на обработку текстовых документов который и создаст правила файрволла, а после их подгрузить.

Vedmich
хм... а я разве выше не постил скрипт по созданию правил файрвола из арп-листа?..

з.ы. так а АРП-записи статические? потому как динамические он экспортировать и не должен...

Динамические ARP листы.
Хм странно со скриптом получилось, я наверное пропустил, а можно еще раз скинуть.

Vedmich
"версия для печати", поиск по ":foreach" =)

Граждане, кто силен в написании паттернов под L7 микротиковский, помогите пожалуйста составить один паттерн который бы ловил бы следующие последовательности:

0x7FFFFFFFAB
0x7FFFFFFF00032000
0x0038000000010000

Нашел:

Цитата:

/ip arp
:foreach i in=[find !dynamic] do=[/ip firewall filter add <bla-bla-bla> src-mac-address=[get $i mac-address] src-address=[get $i address]]

А можно краткое описание что именно эта строчка делает и каков должен быть результат? А также что такое bla-bla? Что именно вместо этого вставлять?

Vedmich
для каждой НЕ-динамической (по предыдущим сообщениям я понял, что восклицательный знак надо убрать) арп-записи создаёт правило файрвола, в котором указан мак- и ip-адрес из арп-таблицы и другие параметры (bla-bla-bla: например, chain=чё-то-там и так далее)

Все понял) спасибо большое но для верности опишу мое понимание, чтобы не ошибиться.

Цитата:

/ip arp
:foreach i in=[find dynamic] do=[/ip firewall filter add <bla-bla-bla> src-mac-address=[get $i mac-address] src-address=[get $i address]]

Для каждой динамической записи создать правило файрвола в которое помещаеться мак+ip и то что сам там допишу все другие параметры? Я прав?
Да кстати, есть еще один вопросик: можно ли сделать правило файрвола в которое будет разрешать доступ к одному компу от любого клиента.

Vedmich
да, именно так

разрешать доступ - только по IP-адресу, в файрволе dst-mac-address ловить нельзя

Chupaka так как мы тут писали не получилось сделать(вчера делал ночью на тестовой модели), но покапавшись в инете и немного изменив текст скрипта получилось. Вот в чем суть изменения, я ввел дополнительные локальные переменные и им уже присвоим динамические данные, а после уже их вписывал в правило файрвола, получилось в общем вот так:

Цитата:

:foreach i in=[find dynamic] do={ :local mac [get $i mac-address]; :local ip [get $i address]; /ip firemall filter add chain=forward in-interface=Public src-mac-address=$mac src-address=$ip }

Да я все никак не могу понять смысл назначения in-interface - у меня есть клиент он включаться в интерфейс Local1, а интерфейсов 5, какой мне ставить? Если к примеру я хочу чтобы он имел доступ ко всей сети но не мог выйти в инет(доступ к интерфейсу Pulic), и что если я хочу чтобы кроме своего сегмента сети он ничего не видел.

Доброго времени суток, Мастера!
Подскажите, имею два выхода в интернет через АДСЛ модемы.
Где можно прочитать как распределить, чтобы половина пользователей микротика ходили в инет через первый модем, а вторые - через второй?
Я нашел одно описание, но оно наверное на другую версию микротика - нет таких вкладок - и ессно не работает.

cambit
а свою версию сказать религия не позволяет?

Чего-то все молчат... Либо вопрос не решаем, либо я что-то не так сказал.
Добавлю: микротик версии 2.9.27. Пользователей всего 4, каждый подключен к отдельной сетевой карте роутера (есесно распределены по подсетям : 192.168.0.0, 192.168.3.0 и т.д.). Адреса АДСЛ модемов 192.168.1.222 и 192.168.2.222. Надо сделать так, чтобы 2 пользователя ходило в инет через 192.168.1.222, а 2 других через 192.168.2.222.

попробуйте промаркировать маршруты
и по источнику отправлять пакеты либо в 1 маршрут либо во второй
и обновитесь до третьей версии..

Пошел обновляться до 3-й версии, а то в этой маркировку пробовал - не помогает.

Цитата:

Если к примеру я хочу чтобы он имел доступ ко всей сети но не мог выйти в инет(доступ к интерфейсу Pulic)

in-interface=Local1 out-interface=!Public action=accept


Цитата:

что если я хочу чтобы кроме своего сегмента сети он ничего не видел

полностью заблокированный на маршрутизаторе, кроме своего сегмента он ничего не увидит


Цитата:

в этой маркировку пробовал - не помогает

помогает, ещё как... но лучше всё же обновиться =)

Цитата:

помогает, ещё как... но лучше всё же обновиться =)

Тогда можно чуть по подробнее, а то пока особенно не разбираюсь (и командную строку не сильно понимаю, поэтому настраиваю через винбокс). Я думал так: в IP\Firewall\mangle для двух адресов пользователей ставлю Mark c каким либо набором символов (например adsl1). А в Routes при назначении шлюза 192.1681.222 тоже добавляю Mark adsl1? Не работает...

Добавлено:
Или чего-то не так?

по описанию - всё так. но лучше всё же обновиться

Прошу Вас подсказать есть ли возможность изменить дизайн http user manager где он лежит?

можно, но немного геморно, надо винт с микротиком подключить к линукс системе и там уже редактировать нужные файлы

Chupaka
А такой еще вопрос: можно ли доработать скрипт так что бы он анализировал ранее уже созданные правила в файрволе(по IP адресу), и если нет там такого IP то тогда вносил бы дополнительное правило с этим же IP адресом.

Vedmich
хм, хороший вопрос... постараюсь на него ответить: да, конечно можно

если подробнее - после получения адреса искать среди правил файрвола этот адрес. если результатов ноль - то добавить

Я конечно понимаю - но вопрос как это сделать?

Вопрос по PPPoE серверу на базе Mikrotik 4.3.
как сделать так чтобы PPPoE сервер принимал соединения ТОЛЬКО СО СВОИМ service name а на запросы клиентов с пустым service name не откликался?
Спасибо

Vedmich
чё-то типа
:local l [:len [/interface find comment~"test"]]
:if ($l = 0) .....

имеется RB433AH с тремя картами R52H RO 4.9,
по wan-1 приходит интернет на интерфейсы wan-2, wan-3, ether-1.
нужен шейпер который делил бы всю доступную полосу wan-1 поровну
между клиентами на интерфейсах wan-2, wan-3, ether-1...
что делаю:
метим пакеты на wan-1:

Код: /ip firewall mangle
add action=mark-packet chain=forward comment="" disabled=no dst-address=\
192.168.0.0/24 in-bridge-port="wlan-1 rmz" new-packet-mark=mark-down \
passthrough=no