» MikroTik RouterOS (часть 2)

Цитата:

а трафик через устройство ходит?

да конечно - это без вариантов, если бы не проходило то это было бы просто физически не возможно.

тогда надо просто воспользоваться Firewall Filter =)

А какие фильтры ставить?И где про эти фильтры можно почитать?

Vedmich
например, в мануале http://wiki.mikrotik.com/wiki/Firewall_filter

Прочитав - понял как то что явно описано в примерах - как разрешить пинг с интернета, как открыть порты на внешний канал и т.д. - но как мне сделать фильтрацию по списки IP адресов - есть список из 100 пользователей которым разрешено все, а остальным запрещено все.
p.s. не судите строго, но с mikrotik работаю только пару дней, и пока не полностью все понимаю, довольно сложно - т.к. как больше привык windows приложениям.

стоит микротик 4.5 впн сервер
внутренняя сеть 192.168.хх.хх но пытаются авторизоваться из интернета,как с этим бороться

Mar/11/2010 18:30:00 pptp,ppp,info <pptp-4>: waiting for call...
Mar/11/2010 18:30:00 pptp,ppp,info <pptp-2>: terminating... - cntrl message too big
Mar/11/2010 18:30:00 pptp,ppp,info <pptp-2>: disconnected
Mar/11/2010 18:30:00 pptp,info TCP connection established from 91.211.212.2
Mar/11/2010 18:30:00 pptp,ppp,info <pptp-2>: waiting for call...
Mar/11/2010 18:30:00 pptp,ppp,info <pptp-4>: terminating... - cntrl message too big
Mar/11/2010 18:30:00 pptp,ppp,info <pptp-4>: disconnected
Mar/11/2010 18:30:00 pptp,info TCP connection established from 89.113.252.27
Mar/11/2010 18:30:00 pptp,ppp,info <pptp-4>: waiting for call...
Mar/11/2010 18:30:00 pptp,ppp,info <pptp-2>: terminating... - cntrl message too big
Mar/11/2010 18:30:00 pptp,ppp,info <pptp-2>: disconnected
Mar/11/2010 18:30:00 pptp,info TCP connection established from 83.149.3.71
Mar/11/2010 18:30:00 pptp,ppp,info <pptp-2>: waiting for call...
Mar/11/2010 18:30:00 pptp,ppp,info <pptp-4>: terminating... - cntrl message too big
Mar/11/2010 18:30:01 pptp,ppp,info <pptp-4>: disconnected
Mar/11/2010 18:30:01 pptp,ppp,info <pptp-2>: terminating... - cntrl message too big
Mar/11/2010 18:30:01 pptp,ppp,info <pptp-2>: disconnected
Mar/11/2010 18:30:01 pptp,info TCP connection established from 87.228.82.54
Mar/11/2010 18:30:01 pptp,ppp,info <pptp-2>: waiting for call...
Mar/11/2010 18:30:01 pptp,info TCP connection established from 212.187.63.219
Mar/11/2010 18:30:01 pptp,ppp,info <pptp-4>: waiting for call...
Mar/11/2010 18:30:01 pptp,ppp,info <pptp-2>: terminating... - cntrl message too big
Mar/11/2010 18:30:01 pptp,ppp,info <pptp-2>: disconnected
Mar/11/2010 18:30:01 pptp,ppp,info <pptp-4>: terminating... - cntrl message too big
Mar/11/2010 18:30:01 pptp,ppp,info <pptp-4>: disconnected
Mar/11/2010 18:30:01 pptp,info TCP connection established from 94.143.240.133
Mar/11/2010 18:30:01 pptp,ppp,info <pptp-2>: waiting for call...
Mar/11/2010 18:30:01 pptp,info TCP connection established from 87.224.161.144
Mar/11/2010 18:30:01 pptp,ppp,info <pptp-4>: waiting for call...
Mar/11/2010 18:30:01 pptp,ppp,info <pptp-2>: terminating... - cntrl message too big
Mar/11/2010 18:30:01 pptp,ppp,info <pptp-2>: disconnected
Mar/11/2010 18:30:01 pptp,ppp,info <pptp-4>: terminating... - cntrl message too big
Mar/11/2010 18:30:02 pptp,ppp,info <pptp-4>: disconnected
Mar/11/2010 18:30:02 pptp,info TCP connection established from 77.34.45.44
Mar/11/2010 18:30:02 pptp,ppp,info <pptp-2>: waiting for call...
Mar/11/2010 18:30:02 pptp,info TCP connection established from 85.173.92.55
Mar/11/2010 18:30:02 pptp,ppp,info <pptp-4>: waiting for call...
Mar/11/2010 18:30:02 pptp,ppp,info <pptp-2>: terminating... - cntrl message too big
Mar/11/2010 18:30:02 pptp,ppp,info <pptp-2>: disconnected
Mar/11/2010 18:30:02 pptp,ppp,info <pptp-4>: terminating... - cntrl message too big

Цитата:

/ ip firewall address-list
add list="allowed-internet" address=172.17.2.0/24 comment="" disabled=no

/ ip firewall nat
add chain=srcnat action=masquerade out-interface="pppoe-ogo" src-address-list="allowed-internet" comment="Gateway ogo pppoe" disabled=no
add chain=srcnat action=masquerade out-interface="net" src-address-list="allowed-internet" comment="Gateway ark 10.222.0.1" disabled=no

/ ip firewall mangle
add chain=prerouting src-address-list="allowed-internet" action=mark-routing new-routing-mark="dns_tcp_traffic" passthrough=no dst-port=53 protocol=tcp comment="" disabled=no
add chain=prerouting src-address-list="allowed-internet" action=mark-routing new-routing-mark="dns_udp_traffic" passthrough=no dst-port=53 protocol=udp comment="" disabled=no
add chain=prerouting src-address-list="allowed-internet" action=mark-routing new-routing-mark="http_traffic" passthrough=no dst-port=80 protocol=tcp comment="" disabled=no
add chain=prerouting src-address-list="allowed-internet" action=mark-routing new-routing-mark="ssl_traffic" passthrough=no dst-port=443 protocol=tcp comment="" disabled=no
add chain=prerouting src-address-list="allowed-internet" action=mark-routing new-routing-mark="ftp_traffic" passthrough=no dst-port=21 protocol=tcp comment="" disabled=no
add chain=prerouting src-address-list="allowed-internet" action=mark-routing new-routing-mark="ssh_traffic" passthrough=no dst-port=22 protocol=tcp comment="" disabled=no
add chain=prerouting src-address-list="allowed-internet" action=mark-routing new-routing-mark="icq_traffic" passthrough=no dst-port=5190 protocol=tcp comment="" disabled=no
add chain=prerouting src-address-list="allowed-internet" action=mark-routing new-routing-mark="pop3_traffic" passthrough=no dst-port=110 protocol=tcp comment="" disabled=no
add chain=prerouting src-address-list="allowed-internet" action=mark-routing new-routing-mark="smtp_traffic" passthrough=no dst-port=25 protocol=tcp comment="" disabled=no
add chain=prerouting src-address-list="allowed-internet" action=mark-routing new-routing-mark="yahoo_msg_voice_tcp_traffic" passthrough=no dst-port=5000-5001 protocol=tcp comment="" disabled=no
add chain=prerouting src-address-list="allowed-internet" action=mark-routing new-routing-mark="yahoo_msg_voice_udp_traffic" passthrough=no dst-port=5000-5010 protocol=udp comment="" disabled=no
add chain=prerouting src-address-list="allowed-internet" action=mark-routing new-routing-mark="yahoo_msg_traffic" passthrough=no dst-port=5050 protocol=tcp comment="" disabled=no
add chain=prerouting src-address-list="allowed-internet" action=mark-routing new-routing-mark="yahoo_msg_video_traffic" passthrough=no dst-port=5100 protocol=tcp comment="" disabled=no
add chain=prerouting src-address-list="allowed-internet" action=mark-routing new-routing-mark="cws_traffic" passthrough=no dst-port=10000 protocol=tcp comment="" disabled=no
add chain=prerouting src-address-list="allowed-internet" action=mark-routing new-routing-mark="cws_in_traffic" passthrough=no dst-port=12000 protocol=tcp comment="" disabled=no
add chain=prerouting src-address-list="allowed-internet" action=mark-routing new-routing-mark="cstrike_tcp_traffic" passthrough=no dst-port=27020-27041 protocol=tcp comment="" disabled=no
add chain=prerouting src-address-list="allowed-internet" action=mark-routing new-routing-mark="cstrike_udp_traffic" passthrough=no dst-port=1200,27000-27015 protocol=udp comment="" disabled=no
add chain=prerouting src-address-list="allowed-internet" action=mark-routing new-routing-mark="other_traffic" passthrough=no comment="" disabled=no

/ ip route
add dst-address=0.0.0.0/0 gateway=pppoe-ogo scope=255 target-scope=10 routing-mark="dns_tcp_traffic" comment="" disabled=no
add dst-address=0.0.0.0/0 gateway=pppoe-ogo scope=255 target-scope=10 routing-mark="dns_udp_traffic" comment="" disabled=no
add dst-address=0.0.0.0/0 gateway=pppoe-ogo scope=255 target-scope=10 routing-mark="http_traffic" comment="" disabled=no
add dst-address=0.0.0.0/0 gateway=pppoe-ogo scope=255 target-scope=10 routing-mark="ssl_traffic" comment="" disabled=no
add dst-address=0.0.0.0/0 gateway=pppoe-ogo scope=255 target-scope=10 routing-mark="ftp_traffic" comment="" disabled=no
add dst-address=0.0.0.0/0 gateway=pppoe-ogo scope=255 target-scope=10 routing-mark="ssh_traffic" comment="" disabled=no
add dst-address=0.0.0.0/0 gateway=pppoe-ogo scope=255 target-scope=10 routing-mark="icq_traffic" comment="" disabled=no
add dst-address=0.0.0.0/0 gateway=pppoe-ogo scope=255 target-scope=10 routing-mark="pop3_traffic" comment="" disabled=no
add dst-address=0.0.0.0/0 gateway=pppoe-ogo scope=255 target-scope=10 routing-mark="smtp_traffic" comment="" disabled=no
add dst-address=0.0.0.0/0 gateway=pppoe-ogo scope=255 target-scope=10 routing-mark="yahoo_msg_voice_tcp_traffic" comment="" disabled=no
add dst-address=0.0.0.0/0 gateway=pppoe-ogo scope=255 target-scope=10 routing-mark="yahoo_msg_voice_udp_traffic" comment="" disabled=no
add dst-address=0.0.0.0/0 gateway=pppoe-ogo scope=255 target-scope=10 routing-mark="yahoo_msg_traffic" comment="" disabled=no
add dst-address=0.0.0.0/0 gateway=pppoe-ogo scope=255 target-scope=10 routing-mark="yahoo_msg_video_traffic" comment="" disabled=no
add dst-address=0.0.0.0/0 gateway=pppoe-ogo scope=255 target-scope=10 routing-mark="cws_traffic" comment="" disabled=no
add dst-address=0.0.0.0/0 gateway=pppoe-ogo scope=255 target-scope=10 routing-mark="cws_in_traffic" comment="" disabled=no
add dst-address=0.0.0.0/0 gateway=pppoe-ogo scope=255 target-scope=10 routing-mark="cstrike_tcp_traffic" comment="" disabled=no
add dst-address=0.0.0.0/0 gateway=pppoe-ogo scope=255 target-scope=10 routing-mark="cstrike_udp_traffic" comment="" disabled=no
add dst-address=0.0.0.0/0 gateway=10.222.0.1 scope=255 target-scope=10 routing-mark="other_traffic" comment="" disabled=no
add dst-address=0.0.0.0/0 gateway=pppoe-ogo scope=255 target-scope=10 comment="default route for router" disabled=no

Вопрос к Chupaka (ты реально бест чупака, у тебя наверное супер мозги):

реально все что выше перевести не по портама по L7 разпознать и отправить в нужные маршруты.

Спасибо заранее

Цитата:

как мне сделать фильтрацию по списки IP адресов

если просто по списку IP - то


Код:
/ip firewall address-list
add list=allowed-users address=172.16.0.1
add list=allowed-users address=172.16.0.2
...
add list=allowed-users address=172.16.0.23
/ip firewall filter
add chain=forward in-interface=Local src-address-list=allowed-users action=accept
add chain=forward in-interface=Local action=reject

А можно ли это все собрать в один файл - все ip адреса которые в фильтре и уже запустить только этот файл - и в случае чего редактировать уже этот файлик.

amma7
IP - Firewall - Add Rule
In Interface - WAN or !LAN
Chain - Input
Protocol UDP && TCP (два правила)
PPTP - 1723
L2TP - 1701
Action Drop

Vedmich
а чем не нравится редактирование адрес-листа? очень удобно через WinBox

amma7
faust72rus
за длиннющим малоинформативным логом я не рассмотрел вопроса )))
я бы вообще заблокировал доступ к маршрутеру из инета, разрешив, если надо, только ssh

кто-то пробовал настроить беспроводной транк оп этой ссылке:
http://wiki.mikrotik.com/wiki/802.1q_Trunk_extension_over_Wireless_P2P_Link#D._Create_Virtual_APs_-_one_per_vlan

тут приведен пример настройки для стороны AP, и не схемы настройки клиента?
кому-нибудь удавалось пробросить несколько vlan'ов по одному P2P линку, но в раздельных бриджах?

Chupaka
Огромное спасибо - работает. И идея по winbox-тоже замечательна спасибо.
p.s. как отблагодарить не знаю - поэтому просто пишу спасибо! Microtik - крутая штука - легка в освоении, есть весь нужный функционал.

Прошу Вас помочь, как промаркировать пакеты в бридже(bredge1- использую для проброса реальных ip) с двумя интерфейсами(in и out) по которым бежит трафик и натится на интерфейсе out ?

Цитата:

как промаркировать пакеты в бридже

/interface bridge settings set use-ip-firewall=yes
и затем в Mangle использовать in-bridge-port и out-bridge-port

2 Chupaka позвольте и мне вопрос

на ВИКИ есть пример:

Example
Classless route adds specified route in clients routing table. In our example it will add dst-address=160.0.0.0/24 gateway=10.1.101.1

/ip dhcp-server option
add code=121 name=classless value=0x18A000000A016501000A016501
/ip dhcp-server network
set 0 dhcp-option=classless


мне нужно с МТ по ДНСР передать клиенту стат машруты (просто шлюз не катит по причине что в инет по РРТР клиент ходит)

понятно почти все кроме: как
160.0.0.0/24 gateway=10.1.101.1 переделать в 18A000000A016501000A016501

только поподробней и на пальцах, если не сложно

заранее благодарен

Эта строчка все спасает
/interface bridge settings set use-ip-firewall=yes
Спасибо!!!

все равно спасибо нашел

Если нужно в option 249 передавать не целые маски (напр. /21) то делаем следующее
Читаем RFC http://www.ietf.org/rfc/rfc3442.txt
и в настройках dhcp пула используем hex запись для option 249
Пример:
route 172.172.0.0/21 168.168.168.168
пишем hex:
N байта: 1 2 3 4 5 6 7 8
hex: 15 AC AC 00 A8 A8 A8 A8

описание:
байт 1 - hex маски (21dec -> 15 hex)
байты с 2 по 4 - наша сеть
байты с 5 по 8 - шлюз

Обращаю внимание, что в RFC четко прописаноб сколько октетов сети нужно брать в зависимости от битовой маски!

в итоге в конфиге будет выглядеть так
!
ip dhcp pool POOL
....
option 249 hex 15ACAC00A8A8A8A8
....
!

Если сетей нужно передать несколько, то аналогично переводим следующий маршрут и дописываем его.
option 249 hex 15ACAC00A8A8A8A815A0AC00A8A8A8A9 передаст 2 маршрута:
route 172.172.0.0/21 168.168.168.168
route 160.172.0.0/21 168.168.168.169

P.S. Работает только на WinXP и старше. По идее для dhcp клиентов поддерживающих 4 версию, это нужно передавать в опции 121

Constantin_A
получилось?.. ppp работает с dhcp?..

Цитата:

получилось?.. ppp работает с dhcp?..

только пришел, не пробывал, но как мне позвонил напарник не оч получается

мне стат машруты не в ррр нужны там шлюз по умолчанию и в инет, а вот по локальным и пиринговым сетям нужно с локальной карты ходить, а это только стат машруты ибо рртр "выше рангом" и шлюз "перебивает"....
отпишусь попожа

Добавлено:
да получается по коду 249, но приходиться в один хешь писать все роуты....

геморойно это однако, как винду не хаят под 2003 сервером это делается в 5 сек

так мы 249 вовсю используем =)

по поводу геморройности... а один раз можно и вручную сделать =) и в чём проблема в одну опцию всё запихнуть? Ctrl+C, Ctrl+V

Еще вопросик созрел - возможно ли создавать фильтр по активности IP адреса - к примеру если видно что с одного IP адреса идет не характерная активность - но отключать его - и не давать возможность выхода в другие подсети? И конечно как-то протоколировать это дело, что бы потом просмотрев логи увидеть кто чего и как.

Цитата:

к примеру если видно что с одного IP адреса идет не характерная активность

насколько нехарактерная?..

К примеру человек - сканирует сеть, в поисках шар - тем самым забивает своим избыточным трафиком сеть. И к примеру такое может повторятся в течении часа более двух раз - то вводить человека во временную блокировку? Возможно ли такое? Или же так называемые сетевые вирусы, которые лезут сразу на все шары по сети - и также сканируют сеть.
И еще вопрос - к примеру провайдер предоставляет бесплатно несколько радиостанций - но при условии что они транслирует только до сервера - а по сети уже как хотим так и делаем, возможно ли на Mikrotikе реализовать нечто подобное(пример и раздачу радио по сети)?

Vedmich
можно ловить пакетики залазанья на шару, обработать их limit'ом, и всё, что вышло за него - добавлять в address-list, по которому потом блокировать пользователя

а радиостанции предоставляются каким способом?

Все привет!

Ребята, кто может подсказать с скриптом для MT, или может у кого есть готовый?

Есть Микротик 3.22 + авторизация через PPP. Еще есть веб-сервер на котором крутиться локальный сайт с форумом.
Люди туда ходят но не постоянно и не все, а иногда этого так не хватает. Вот и задумался я о принудительном редиректе.

В /ip web-proxy сделал перенаправленные на сайт, в /firewall nat тоже создал правило. Все, при попытке зайти на на любой сайт редиректит на локальный.

А вот как сделать что бы редирект срабатывал только раз при подключении, а дальше что бы все работало в обычном режиме...?

Mikrotik Adapter In/g44v(rb44g)

кто использовал? ваши мнения. в системе отображаются как 4 независимые четрые сетевки?
http://www.routerboard.com/rb44.html
http://www.asp24.ru/mikrotik/adapters/mikr...er-ing44vrb44g/

или расскажите кто знает и\или использовал про еще какие-либо сетевые карты с 2-4 разъёмами RJ-45

FreeZ88
можно перенаправить - а потом уже перенаправленного добавить в адрес-лист, и больше не трогать

Доброго времени суток. Прошу вашей помощи.
Ситуация следующая, есть пк с МТ 3.20 также модем от PeopleNet Novatel USB720.
Проблема такая, модем держит связь стабильно (так сказать в холостом режиме) как только начинается сёрф с другого пк (МТ в качестве роутера) получаем дисконекты, с частотой примерно раз в 5 минут.
Буду признателен за ответы.
Заранее благодарю.

Код: Вопрос: