» MikroTik RouterOS (часть 3)

Цитата:

BigElectricCat

43 чипсет
какой-то коре2дуо
4 гб мозга ддр3 (микротик почемута видит только 2, эт ограничение чтоль?)
встроенная сеть и длинковский гигабит
микротик на CF карте через переходник IDE

До этого год на нем стоял (тока на винте) вин 2008 + керио, но вот перевёл на микротик и такая фигня..

Как правильно сделать фильтр в фаерволе на несколько условий для одного соединения/пакета? В моем случае, для занесения в адрес лист и дропа?

Добавлено:
Как правильно сделать фильтр в фаерволе на несколько условий для одного соединения/пакета? В моем случае, для занесения в адрес лист и дропа?

butch9383
Прописать 2 правила: первым будет идти правило на дроп по указанному адрес-листу, за ним идёт правило по занесению IP в данный адрес-лист по заданным параметрам.

korsakoff72RU
насколько я знаю, отработка правил идет до первого совпадения, т.е. только первое правило сработает.

butch9383
В данном случае, если адрес пакета, соответствующего условиям, ещё отсутствует в адрес-листе, то он подпадает под второе нижестоящее правило, которое поместит его в этот список после чего, все последующие пакеты, соответствующие условию, с данного адреса будут дропаться первым правилом. Если же адрес в списке уже имеется, то пакеты будут дропаться сразу же первым правилом.

korsakoff72RU
странно. У меня в адрес лист попадает только, если правило с добавлением в этот лист стоит перед правилом drop. Если поменять местами то отрабатывает drop и в адрес лист уже ничего не попадает. Может вы наоборот имели ввиду?

Добавлено:
Уточню, адрес пакета уже присутствует но в другом адрес листе. Я же добавляю в еще один по определенному признаку и, после этого, дропаю.

butch9383

Цитата:

Если поменять местами то отрабатывает drop и в адрес лист уже ничего не попадает.

Не находите противоречия? Как может отрабатываться дроп, если адрес отсутствует в адрес-листе? Значит адрес либо уже есть в списке, либо дропающее правило настроено не на работу с листом, а дропает все подходящие по условиям пакеты с любых адресов.

Для более предметного разговора могли бы свои правила здесь привести.

Цитата:

либо дропающее правило настроено не на работу с листом, а дропает все подходящие по условиям пакеты с любых адресов.
 

Так и есть. Дропающее правило дропает промаркированное соединение с любых адресов. А правило, добавляющее в лист, добавляет опять же по тому же маркеру ip с которого пакет пришел. Нужно для статистики.

butch9383
Ещё раз, но подробней:

1. Первым ставите правило, дропающее соответствующий условиям трафик, по автоматически создаваемому динамическому адрес-листу.

2. Вторым ставите правило, заносящее ЛЮБОЙ адрес (если он соответствует заданным условиям) в данный автоматически создаваемый адрес-лист.

Условия в обоих правилах должны быть идентичны, за исключением, на сколько понял, источника (в первом правиле источник - адрес-лист, во втором - все возможные адреса).

В итоге должен получиться и список для статистики, и дроп указанного трафика.

korsakoff72RU
понял вашу мысль. Единственный нюанс - первый пакет не дропнется, т.к. листа еще не будет.

захотелось настроить UPS APC Smart-UPS 1000 для мониторинга с устройства, подключил по COM порту, но при добовлении UPS пишет что порт уже занят.

Что может быть?

skynet120
System-Console поменяйте порт или отключите сервис.

спс заработало

хай пипл!

Объясните на пальцах как обновить софт в RB/751U-2HnD

Пытался через NetInstall с удаленной загрузкой, но видимо что-то не так делаю.

Какой адрес нужно указывать в настройках NetInstall (сетевухи к которой подключен девайс или вообще "левый")? При перегрузке зажимаю резет, жду пока погаснут леды, отпускаю..., но в нетинстале девайс не высвечивается ....

Буду благодарен за мегаподробнейшую инструкцию ...

butch9383

Цитата:

Единственный нюанс - первый пакет не дропнется, т.к. листа еще не будет.

Да.

Доброго всем дня!
Вчерась поставил 5,10 на х86, стало показывать загрузку проца на 30% выше чем обычно. Это трабла такая версии? или раньше неправильно показывало

Добавлено:
Оо уже 5,11 вышла

Добавлено:
Проблема всётаки в версии, процессор грузят очереди. Латентность выросла. Ночью поставлю 5,11 если всё будет также придётся вернуться на 5,8

apnss

=> Загружаешь образ для своего оборудования http://download2.mikrotik.com/routeros-mipsbe-5.11.npk
=> Заходишь через Winbox (http://192.168.88.1/winbox/winbox.exe)
=> Открываешь вкладку Files
=> Кидаешь туда скаченный образ с расширением *.npk в корень
=> Далее рестарт микротика (System -> Reboot)
И все!

astin2007
все зашибись!!!
спасибо, дружище

нужно считать трафик и резать скоростя некоторым личностям
имеется mikrotik 3.20 и dhcp раздача без каких либо привязок, посоветуйте пжл прогу или биллинг, уже весь мозг сломал, нашёл у нас на форуме MikroBill, без инструкций, пока не понял как пользоваться, может ещё что то похожее не за бешеные деньги

Добавлено:
нашёл idego он даже бесплатен до 200 пользователей, никто не пробовал?

Как 5,11? поставил кто?

Bambastick
есть немножко

Цитата:

нашёл idego он даже бесплатен до 200 пользователей, никто не пробовал?

idego или ideсo?

в Changelog для 5,9 указана какая то работа с SMS: sms - send sms now uses channel from config if it's not specified in the command;

если верить ВиКи то он может отправлять SMS через GSM можем. Кто нибудь пробовал сделать отсылку уведомлений о
1) переходе UPS в режим "от батареи"
2) отсутствие инета на основном канале
3) переход на запасной канал инета


пытаюсь настроить VPN, что бы сотрудники из дома могли подключатся к корпроративной сети, делаю все по инструкции http://asp24.ru/obzor/mikrotik-statji/ppp/nastrojka-pptp-server-mikrotik/. Пользователь подключается, получает IP адрес, но к внутренним ресурсам доступа нету, в качестве шлюза указан, почемуто, хотя можкт так и должно быть, IP который у этого компа. Пинги идут только на шлюз.


P.S. почитал маны для маркировки пакетов и запихивания их в медленную очередь, как то непонятно. (нужно ограничить скорость закачки файлов больше 100Мб для каждого подключения определенной сети)

skynet120

Цитата:

нужно ограничить скорость закачки файлов больше 100Мб

роутер не знает о размере файла, строго говоря, ничего - можно только ограничивать соединения, по которым прошло больше определённого объёма данных. обходится такое ограничение тоже несложно - скачиванием во много потоков с периодическим их перезапуском

VPN вроде запустил, но осталось несколько вопросов:
1) если я не указываю Remote Address выдилится ли он автоматом из свободных
2) не отрабатывает DNS внутренних адресов, ходить можно только по ip, можно ли как то это поправить



Цитата:

по которым прошло больше определённого объёма данных. обходится такое ограничение тоже несложно - скачиванием во много потоков с периодическим их перезапуском

могу ли я поставить ограничение на количество потоков, например не больше 3 потоков на один IP?

skynet120

Цитата:

если я не указываю Remote Address выдилится ли он автоматом из свободных

в Remote Address надо указать название пула адресов, из которого они будут выдаваться


Цитата:

не отрабатывает DNS внутренних адресов

а поподробнее?..


Цитата:

могу ли я поставить ограничение на количество потоков, например не больше 3 потоков на один IP?

для начала надо сформулировать, что такое "поток". соединение? - тогда connection-limit в помощь. активный качун? тогда теоретически может сработать связка connection-rate + connection-limit, но тут уж надо проверять

Chupaka
подскажи, ты как то писал, что в новых версиях (5) появилась возможность как то ограничить трафик UDP, понятно что соединений у него нет и сделать как с TCP не получится, но может как то ограничить количество пакетов в единицу времени.
ты писал про какие то параметры, но что то не найду этот топик и там на сколько я понял ограничивается пакетов в секунду и при их уменьшении как раз и будет желаемый результат.

Цитата:

Цитата:
не отрабатывает DNS внутренних адресов

а поподробнее?..

когда я пытаюсь попасть на комп \\filer не пускает, а когда \\10.0.2.2 - все норм

Добавлено:
Chupaka

Цитата:

Цитата:
если я не указываю Remote Address выдилится ли он автоматом из свободных

в Remote Address надо указать название пула адресов, из которого они будут выдаваться

а как задать пул, на 10.0.2.0/24 или 10.0.2.100-200 говорит что такой адрес уже есть

vlh

Цитата:

ты как то писал, что в новых версиях (5) появилась возможность как то ограничить трафик UDP, понятно что соединений у него нет и сделать как с TCP не получится

всё получится. надо использовать connection-limit без указания protocol=tcp - и всё будет пучком. версии 5.8 и выше, насколько помню

skynet120

Цитата:

когда я пытаюсь попасть на комп \\filer не пускает, а когда \\10.0.2.2 - все норм

имеет ли это отношение к DNS? больше похоже на то, что компьютеры находятся в разных бродкастовых сегментах


Цитата:

а как задать пул, на 10.0.2.0/24 или 10.0.2.100-200 говорит что такой адрес уже есть

это в IP -> Pools говорит?..

Chupaka

Цитата:

Цитата:
когда я пытаюсь попасть на комп \\filer не пускает, а когда \\10.0.2.2 - все норм

имеет ли это отношение к DNS? больше похоже на то, что компьютеры находятся в разных бродкастовых сегментах


Цитата:
а как задать пул, на 10.0.2.0/24 или 10.0.2.100-200 говорит что такой адрес уже есть

это в IP -> Pools говорит?..

а что тогда писать в Remote Address?

возможно я забыл упомянуть о том что IP раздает отдельный DC на котором поднято DNS и DHCP

skynet120

Цитата:

а что тогда писать в Remote Address?

вы издеваетесь, или к зиме у всех обострение, и они не помнят информацию получасовой давности? написал же:
Цитата:

в Remote Address надо указать название пула адресов

а пулы создаются в IP -> Pool


Цитата:

возможно я забыл упомянуть о том что IP раздает отдельный DC на котором поднято DNS и DHCP

от себя добавлю, что к выдаче адресов во всяких pptp сервис DHCP никакого отношения не имеет