» MikroTik RouterOS (часть 3)

vlh
действительно перегрелся =)

если внешек несколько - то лучше каждую заблокировать отдельно, иначе вторая внешка попадёт при случае под правило, которое разрешает всё, кроме первой внешки


Цитата:

тогда получается что пакеты например из сети 10.0.0.0.24 будут проходить?

нет, потому как в правиле указано, что подсеть должна быть именно 192.168, а интерфейс - именно НЕ такой-то. если хотя бы одно условие не выполняется - правило не срабатывает

Ребята получилось ли настроить IPSec на Mikrotik PC 3.2x

поднял тунель L2TP , ну и для полного счастья хотелось бы полноценной поддержки IPSec

пока у клиентов отключаю "ProhibitIpSec"=dword:00000001

Цитата:

Ребята получилось ли настроить IPSec на Mikrotik PC 3.2x

вынес в шапку "Настройка подключения L2TP IPSec VPN между Windows 7 и Микротиком" - не помогает?

Chupaka
нет , вообщем и делал сообща , с автором поста !!! , как мне кажеться надо настраивать еще police на Микротике,

rosalin
Проблема с дефолтным маршрутом у тебя решилась? Если нет, значит дело, увы, не в подключении. Проверь на другом ПК.
Полисы создадутся автоматически, так как в пире стоит галочка их генерировать.

Chupaka
хорошо, сделал я три правила, так как внешек три:

Код: add action=accept chain=input comment="" disabled=no in-interface=!wan-1 src-address-list="(reserve_channel)"
add action=accept chain=input comment="" disabled=no in-interface=!wan-2 \
src-address-list="(reserve_channel)"
add action=accept chain=input comment="" disabled=no in-interface=!wan-3 \
src-address-list="(reserve_channel)"

vlh
Что то мне подсказывает что на самом деле нужно:

Код:
add action=accept chain=input comment="" disabled=no in-interface=wan-1 src-address-list="(reserve_channel)"
add action=accept chain=input comment="" disabled=no in-interface=wan-2 src-address-list="(reserve_channel)"
add action=accept chain=input comment="" disabled=no in-interface=wan-3 src-address-list="(reserve_channel)"

faust72rus
вы опять не внимательно прочитали наши посты
мы обсуждали настройку Firewall из этого мануала - тут
и меня интересовало правило:

Код: add chain=input src-address=192.168.0.0/24 action=accept in-interface=!ether1

vlh



Цитата:

что оно запрещает?, ответ я прочитал и понял, оно разрешает IP 192.168.0.0/24
на всех интерфейсах кроме указанных в правилах...

Правильнее и логичнее читать так: Оно разрешает трафик с адресов 192.168.0.0/24 со всех интерфейсов КРОМЕ Ether1
А значит оно не разрешает (а если совсем точно, то игнорирует) трафик с адресов 192.168.0.0/24 для интерфейса Ether1.
И именно для запрета в мануале там идёт последнее правило:

Код: add chain=input action=drop comment="Drop everything else"

Цитата:

faust72rus
По поводу второго всё вроде логично.  
Если ты сделал правило для ВСЕГО кроме А, т.е. для Б и Ц.
То трафик для Б и Ц будет в него попадать, но трафик для А попадать в него не будет, но он окажется во втором правиле, которое для ВСЕГО кроме Б. Соответственно третье твоё правило идёт лесом, т.к. в первые два уже "всё включенно". При перемещении первого правила в конец, два другие с лёгкостью заменяют его, т.к. опять же они охватывают все твои интерфейсы (включая даже те что ещё не созданы).

хорошо, вроде все логично, но по вашему описанию из например трех внешних
каналов под два первых будут попадать пакеты, а я говорю что пакеты попадают только под первое правило в списке.... и внешек у меня 4, то есть как вы говорите должно попадать под первых три правила, но повторюсь попадает только под первое в списке...

ребята столкнулся с проблемой ,
клиенты подключаються по L2TP, все пингуеться но нет доступа к общим папкам в локальной сети .

отключаю
21 X ;;; All other forwards drop
chain=forward action=drop

все работает!!!

rosalin
У тебя вероятно есть правило которое отдельно разрешает forward для пинг протоколов.

А это

Код: 21 X ;;; All other forwards drop
chain=forward action=drop

faust72rus
вот все что выше:

Код: add action=accept chain=input comment="Accept winbox" disabled=no dst-port=8291 protocol=\
tcp src-address-list=admin
add action=drop chain=input comment="" disabled=no dst-port=8291 protocol=tcp
add action=drop chain=forward comment="" disabled=no dst-address=192.168.111.0/24
add action=drop chain=forward comment=spammer disabled=no dst-port=25 protocol=tcp \
src-address-list=spammer
add action=add-src-to-address-list address-list=spammer address-list-timeout=1d chain=\
forward comment="" connection-limit=10,32 disabled=no dst-port=25 limit=30,5 \
protocol=tcp src-address-list=!spammer
add action=drop chain=forward comment="tcp session limit" connection-limit=70,32 \
disabled=no protocol=tcp src-address-list="(PCQ_Limit)"
add action=drop chain=forward comment="tcp session unlimit" connection-limit=50,32 \
disabled=no protocol=tcp src-address-list="(PCQ_QoS_Unlim)"
add action=drop chain=forward comment="tcp session unlimit1" connection-limit=50,32 \
disabled=no protocol=tcp src-address-list=07.Unlimit-1024
add action=drop chain=forward comment="tcp session torrent" connection-limit=35,32 \
disabled=yes protocol=tcp src-address-list="(reserve_channel)"
add action=drop chain=forward comment="uTP uTorrent" disabled=yes layer7-protocol="\B5TP" \
protocol=udp
add action=drop chain=forward comment="block torrent wwws" disabled=yes layer7-protocol=\
torrent-wwws
add action=drop chain=forward comment="DHT Torrent drop" disabled=yes layer7-protocol=DHT \
protocol=udp
add action=drop chain=forward comment="block torrent dns" disabled=yes dst-port=53 \
layer7-protocol=torrent-dns protocol=udp
add action=drop chain=forward comment="block p2p traffic" disabled=yes p2p=all-p2p
add action=drop chain=input comment="Drop Invalid connections" connection-state=invalid \
disabled=no
add action=accept chain=input comment="Allow Established connections" connection-state=\
established disabled=no
add action=accept chain=input comment="Allow ICMP" disabled=no protocol=icmp

vlh
Принтани все правила... чего то нехватает.
Ну и интерфейсы тоже принтани.

Код: 0 ;;; Accept winbox
chain=input action=accept protocol=tcp src-address-list=admin dst-port=8291

1 chain=input action=drop protocol=tcp dst-port=8291

2 chain=forward action=drop dst-address=192.168.111.0/24

3 ;;; spammer
chain=forward action=drop protocol=tcp src-address-list=spammer dst-port=25

4 chain=forward action=add-src-to-address-list protocol=tcp src-address-list=!spammer
address-list=spammer address-list-timeout=1d dst-port=25 connection-limit=10,32
limit=30,5

5 ;;; tcp session limit
chain=forward action=drop protocol=tcp src-address-list=(PCQ_Limit)
connection-limit=70,32

6 ;;; tcp session unlimit
chain=forward action=drop protocol=tcp src-address-list=(PCQ_QoS_Unlim)
connection-limit=50,32
7 ;;; tcp session unlimit1
chain=forward action=drop protocol=tcp src-address-list=07.Unlimit-1024
connection-limit=50,32

8 X ;;; tcp session torrent
chain=forward action=drop protocol=tcp src-address-list=(reserve_channel)
connection-limit=35,32

9 X ;;; uTP uTorrent
chain=forward action=drop protocol=udp layer7-protocol=\B5TP

10 X ;;; block torrent wwws
chain=forward action=drop layer7-protocol=torrent-wwws

11 X ;;; DHT Torrent drop
chain=forward action=drop protocol=udp layer7-protocol=DHT

12 X ;;; block torrent dns
chain=forward action=drop protocol=udp layer7-protocol=torrent-dns dst-port=53

13 X ;;; block p2p traffic
chain=forward action=drop p2p=all-p2p

14 ;;; Drop Invalid connections
chain=input action=drop connection-state=invalid
15 ;;; Allow Established connections
chain=input action=accept connection-state=established

16 ;;; Allow ICMP
chain=input action=accept protocol=icmp

17 chain=input action=accept src-address-list=(reserve_channel) in-interface=!wan-1

18 chain=input action=accept src-address-list=(reserve_channel) in-interface=!wan-2

19 chain=input action=accept src-address-list=(reserve_channel) in-interface=!wan-3

20 chain=input action=accept src-address-list=(reserve_channel) in-interface=!wan-4

21 ;;; Drop everything else
chain=input action=drop

vlh
Ну теперь добавь в самое начало:
chain=forward action=log in-interface=PABLIC_XX (тут основной интерфейс)

и смотри что появится в логах

Цитата:

(тут основной интерфейс)

это какой основной? у меня через все внешние интерфейсы идет трафик...

vlh
Значит будет несколько правил.
И все они будут именно с указанием конкретного интерфейса. А НЕ с указанием "!интерфейс".

мать... я ж писал:


Цитата:

если внешек несколько - то лучше каждую заблокировать отдельно, иначе вторая внешка попадёт при случае под правило, которое разрешает всё, кроме первой внешки

т.е. нужен не accept для in-interface=!чётотам, а дроп для in-interface=чётотам

Chupaka
Ну не понимает он. Вот разжёвываем =)

Цитата:

Chupaka
т.е. нужен не accept для in-interface=!чётотам, а дроп для in-interface=чётотам

ну и че
то есть вы предлагаете заблокировать IP моих локальных сетей (192.168.0.0/24 и 10.0.0.0/24) на внешних интерфейсах....?
а какой смысл если на них (внешних интерфейсах) поднят NAT?
вроде как и так эти IP не должны пройти.... или я опять вас не понял....

Цитата:

то есть вы предлагаете заблокировать IP моих локальных сетей

я не предлагаю в тех правилах указывать адреса - сразу дропнуть интерфейсы, а потом в accept не указывать интерфейс, поскольку всё "вредное" давно отброшено

Chupaka
то есть предлагаете сделать таких правил на все внешние интерфейсы:

Код: chain=forward action=drop in-interface=wan-1

Цитата:

по моему что то не то, первое правило дропает все на внешнем интерфейсе,
второе разрешает прохождение пакетом от локальных адресов....

а что ставить целью? не надо бездумно копировать чужие примеры, надо их понимать и на них учиться

Цитата:

а что ставить целью?

хороший вопрос, а главное правильный Chupaka...
цель - защитить роутер и пользователей локальной сети от вторжение из вне,
и сам роутер от вторжение из локальной сети....
с RO только учусь работать, в других роутерах которые были там было проще,
поставил галочку в боксе - включить Firewall и как бы все, а тут надо все прописывать и что самое не понятное от чего надо защищаться...

Цитата:

в других роутерах которые были там было проще,
поставил галочку в боксе - включить Firewall и как бы все

сразу вспоминаются легенды о кнопках "Сделать всё красиво" и "Работай!" а что эта галочка, если не секрет, делала?

Chupaka

Цитата:

а что эта галочка, если не секрет, делала?

Отключала мозг админу =)

Цитата:

а что эта галочка, если не секрет, делала?

ладно вам прикалываться
а кто ее знает что она делала, там же не было настроек, наверное
какие то штатные правила создавала и все....
в RO раньше же тоже так можно было через веб морду, тоже был
бокс включить Firewall или нет....
так что не надо ни чего защищать? достаточно закрыть пользователям
доступ к тику через телнет, винбокс оставив только себе и все?
просто смотрю на пример в wiki, там же много каких то правил,
они ведь для чего то нужны....
наверное на интерфейсах где серые IP смысла нет что то защищать,
так как за ним локальная сеть а из вне защита стоит у провайдера,
а вот на интерфейсе с белым IP наверное что то надо делать?

vlh

Цитата:

в RO раньше же тоже так можно было через веб морду

А кто мешает теперь? Веб морда никуда не делась.

Сервисы (www, ssh, telnet & etc) наружу разумеется нужно отключить. Вообще ИМХО лучше дропать всё с внешнего интерфейса (при чём не важно какой у него адрес, внешний он и есть внешний), кроме ICMP (ну и кроме того что нужно разрешить).

Добавлено:
Кажется нашёл ошибку в Packet Flow.

После Local Proccess OUT пакет попадает вначале в Output, а лишь за тем в Routing Decision.

Аргументация:
Если я правильно понимаю то запущенная с микротика трасировка пакетов начинает свой путь именно в Local Proccess OUT.

Если это так то созданное на chain output правило с маркировкой роутов не должно было оказать влияние на прохождение исходящего пакета, т.к. ячейка Routing Decision уже пройдена. Т.е. повлиять на маршрутизацию пакетов исходящих от самого микротика можно лишь добавив записи в таблицу main.

Однако на практике я легко маркирую исходящий трафик и направляю его в маркированные маршруты.

Либо ошибка в графике, либо я не правильно понимаю откуда возникает исходящий трафик в микротике.

Чупака?

Здравствуйте. Прошу помощи, не получается настроить RouterOS на виртуальной машине VMware, для одного ПК с одной сетевой.
Имею ADSL соединение с адресом 192.168.1.1, IP и DNS выдает автомат.

После установки RouterOS, ввожу команды:
interface print - сетевая карта видна.
interface enable 0
ip address add address 192.168.0.1/24 interface ether1
ip address print - все прописалось.
Закрываю RouterOS.

Потом настраиваю сетевую плату (физическую):
IP 192.168.0.2
MAC 255.255.255.0
Шлюз 192.168.0.1
DNS 192.168.0.1
После выхода с настроек, Windows пишет, что конфликт IP, хотя в моей сети такие адреса не присутствуют.

После настраиваю конфигурацию виртуального сетевого адаптера, через меню "Edit'>"Virtual Network Editor", в разделе "VMnet Information" выбираю "Bridged (Connect VMs..." и выбираю свою карту в "Bridged to".
Указываю виртуальной машине какой профиль использовать для адаптера микротика:
В колонке "Sidebar", в древе "Favorites", нажимаю на свою RouterOS, справа появляется настройки. В колонке "Commands" выбираю "Edit virtual machine settings", появляется окно "Virtual Machine Settings", во вкладке "Hardware" становлюсь на "Network Adapter", справа настройки:
"Device status"> отмечено "Connect at power on"
"Network connection"> становлюсь на "Custom: Specific virtual network" и выбираю профиль "VMnet0 (Bridged)".

Запускаю виртуальную машину.
Проверяю 192.168.0.1 и ничего...

Подскажите пожалуйста, что не так.
Заранее спасибо.