» MikroTik RouterOS (часть 3)

Правило звучит как:
chain=dstnat action=redirect to-ports=8080 protocol=tcp dst-address=0.0.0.0 dst-port=80
без включеня проброса и включенным проксиком трафик тоже подымается, но при этом прокси не блочит ничего.

Добавлено:
причём даже если вырубить все правила с прокси - то всёравно загрузка канала повышается.

"dst-address=0.0.0.0" вообще не должно ловить никаких пакетов
а в статистике прокси есть ли какая-либо движуха, когда к нему запросы, теоретически, идти не должны?..

Цитата:

"dst-address=0.0.0.0" вообще не должно ловить никаких пакетов

не соглашусь. ето помоему обозначается как все пакеты исходящие в нет.
и в статистике движуха полная. в винбоксе вкладка Conections показывает 97 items

ad116

Цитата:

не соглашусь. ето помоему обозначается как все пакеты исходящие в нет.

Уберите этот параметр из вашего правила.
С настройкой прокси можно ознакомиться тут:
http://wiki.mikrotik.com/wiki/How_to_make_transparent_web_proxy
и тут:
http://wiki.mikrotik.com/wiki/Manual:IP/Proxy

Цитата:

ето помоему обозначается как все пакеты исходящие в нет

не путайте 0.0.0.0 и 0.0.0.0/0
первое подразумевает 0.0.0.0/32


Цитата:

в статистике движуха полная. в винбоксе вкладка Conections

значит, кто-то цепляется к вашему прокси напрямую. например, из Интернета - блокируйте файрволом

Ребята спасибо!
Помогло правило:
chain=input action=drop connection-state=invalid

а теперь помогите со следуйщим.

пытаюсь через нат пробросить порты правилами типа:
chain=dstnat action=dst-nat to-addresses=192.168.0.127 to-ports=48999 protocol=tcp dst-port=48999
(это порт на радмин)

в итоге мне пробрасывает только 2 пакета, и говорит (радмин) что неудалось связатся с сервером.
такая же ситуация происходит и с выключенными правилами фаервола.

ad116

У радмина по умолчанию порт 4899, а не 48999

Цитата:

У радмина по умолчанию порт 4899, а не 48999

я знаю. но єто у старого 4899, у более новая версия 48999.
суть не в том. у меня два правила на оба порта, а толку никакого.

ad116
проверяете из Интернета, не из локалки?..

да, проверяю с интернета.

ad116
Напрямую разумеется всё работает?

Цитата:

Напрямую разумеется всё работает?

ну как бы логично....

Люди подскажите пожалуйста, как настроить NAT? Есть два соединения с нетом и локальная сеть. Надо в правилах NAT для доступа в интернет в scr address указать адреса локальной сети(записать например адреса локальной сети 192.168.88.0/24 в таком формате). Раньше было одно соединение и в правилах NAT в out interface было прописано pppot-out1. Или надо создавать в NAT второе правило для второго соединения и уазывать там out interface - pppot-out2.

wwwwwww7
Думаю для маскарадинга можно сделать правило где out interface=!LAN, если у тебя всего один локальный интерфейс.

привет:
Вот ситуация такая...

Поставлен Mikrotik с двумя интерфейсами
eth1 10.80.80.5/24
еth2 10.50.50.5/24

надо что бы машины из сети 10.80.80.0 которые за eth1 смогли видеть сеты 10.50.50.0 что за eth2.. и наоборот.
Но надо всё ето сделать так что бы в сети 10.50.50.0 не высветились IP аддресса из сети 10.80.80.0 а только IP аддресс Микротика то есть 10.50.50.5 , и наоборот.
Я делаю srcnat -маскарадинг сразу на обеих интерфейсах ... ..
но в одном направлении оно работает, а на другом нет...

ANTRAMABANAKAN
Используй не маскарадинг, а action=src-nat и в качестве адреса IP Mikrotik.

всё: круто.. всё работает как надо...


но в чём была проблема?
вроде маскарадинг тоже должен был правильно делать всё?

ANTRAMABANAKAN

Код: masquerade - replace source address of an IP packet to IP determined by routing facility.

ребята столкнулся с проблемой , удаленный клиент L2TP отваливаются ,хотя интернет вроде работает

Как правильно разрешить сервис GRE

Подскажите пожалуста как на МТ закрыть доступ к развлекательным сайтам(одноклассники, контакт и т.д.), т.е. чтоб МТ блокировал доступ по именам сайтов брав их из определенного списка, а то в проксе не очень удобно прописовать правило для каждого сайта отдельно.

можно ли в Filter Rul написать такой rul чтобы в логах была видна каждый established connection в интернет..
я что то сделал /chain output log ...
но там пишется про каждый ACK ....
и логов становится много....
мне бы хотелось что бы была как в connections листе, но ввиде лога а на как screenshot.

ANTRAMABANAKAN

Цитата:

мне бы хотелось что бы была как в connections листе, но ввиде лога а на как screenshot.

сами поняли, что сказали?.. и будьте чуть более подробны, я когда пытаюсь добавить правило "/chain output log ..." - Терминал его не принимает

подробнее рул выглядит так..

add action=log chain=output comment="Log Established Connections" connection-state=\
established enabled=yes dst-address=!192.168.0.0/24 log-prefix=\
"Conn established"

другими словами надо что бы /ip firewall filter >print лист была видна в режиме лог файла, то есть скажем что бы я смог узнать с какими внешними аддресами был established connection в течении дня.

Ребята помогите поднять на Mikrotik 3.30 OpenVPN сервер

ANTRAMABANAKAN
Чайн форвард не подходит?
valerake
Список сайтов будет в виде IP?

Цитата:

connection-state=established

замените на connection-state=new

faust72rus
Нет, хотелось бы типа этого:
mail.ru
odnoklassniki.ru
odnoklasniki.ru
vkontakte.ru
И.Т.Д

Добавлено:
faust72rus
может скриптик какойто для прокси, чтоб с со списка добовлял сайты в проксю??

valerake
Думаю седствами MK это будет затратно, проще поднять сбоку проксю с Squid, либо воспользоватся чем то типа DNS rejector.

Здравствуйте! Как поиграть в starcraft через связку pptp server mikrotik RB750 5.10 - winXP client. Пока получается только диабло 2

Цитата:

Как поиграть в starcraft через связку pptp server mikrotik RB750 5.10 - winXP client. Пока получается только диабло 2

получается потому, что там адрес сервера надо вручную вводить? или почему?

возможно, http://wiki.mikrotik.com/wiki/Manual:BCP_bridging_(PPP_tunnel_bridging) - только не факт, что винда такое сможет...