» MikroTik RouterOS (часть 3)

/ip proxy access> print
Flags: X - disabled
# DST-PORT DST-HOST PATH METHOD ACTION HITS



Цитата:

И работает ли доступ в интернет через порт 8080?

как проверить ??? или как добавить в фаервол???

Добавлено:
Newbie
вот если так добавлю ,
chain=input action=accept protocol=tcp dst-port=8080

это правильно ???

нет у пользователей появился

rosalin
Проверить можно выполнив настройку прокси в любом браузере.

cambit
Насколько я помню они отрабатываются сверху вниз - от 0 к крайнему

Newbie
да нет я имел ввиду , вплане безопасности корректно ли правило
chain=input action=accept protocol=tcp dst-port=8080


и еще вопрос , обязательно ли
указывать mangle
[admin@MikroTik] /ip firewall mangle> print
Flags: X - disabled, I - invalid, D - dynamic
0 chain=output action=accept dscp=4

Цитата:

cambit
Насколько я помню они отрабатываются сверху вниз - от 0 к крайнему

Тогда почему если я ставлю 3-е правило :

Цитата:

3 chain=prerouting src-address=192.168.3.2 dst-address=192.168.0.0/24
action=mark-routing new-routing-mark=m2 passthrough=yes

выше 0-го -

Цитата:

0 chain=prerouting src-address=192.168.0.2 action=mark-routing
new-routing-mark=dsl passthrough=yes

пинг компьютеров в параллаельных сетях прекращается? Хотя по логике должно быть наоборот - "Правило сработало - вышел"?

cambit

Цитата:

passthrough=yes

rosalin
Не скажу про mangle, а по вопросам безопасности можно запретить chain=input src-address=0.0.0.0/0 protocol=tcp dst-port=8080 interface=WAN action=drop

Цитата:

cambit

passthrough=yes

Поподробнее - очень прошу


Добавлено:
И еще вопрос (не посчитайте за ламера, пожалуйста) правильно-ли я пересказываю следующее правило :

Цитата:

chain=prerouting src-address=192.168.3.2 dst-address=192.168.0.0/24
action=mark-routing new-routing-mark=m2 passthrough=yes

обыкновенным языком: "Если адресс источника - 192.168.3.2 И адресс назначения - сеть 192.168.0.0 ТО производим действие - устанавливаем маркер "m2"
Это правильно я понимаю?

passthrough=yes означает что правила будут продолжать обрабатываться далее по списку.

по поводу правила - вроде правильно понимаете, я бы его точно также интерпретировал

Цитата:

правила mangle отрабатываются снизу вверх или сверху вниз (если работать через Winbox)?

строго говоря, правила обрабатываются в порядке возрастания номеров а в ВинБоксе их можно отсротировать по любому полю - и тут уже направление не играет роли

rosalin
а /ping ya.ru из Терминала что говорит? а то мало ли DNS не настроены, или дефолтового маршрута в таблице main нет...

Народ, подскажите как реализовать отдельный вход каждому пользователю из терминальных сессий? Сделал вход через hotspot, но стоит одному ввести логин и пароль как у всех появляется доступ...

Newbie
Зачем вводишь в заблуждение rosalin.

Указанное им правило реализует механизм прозрачного прокси.


Цитата:

/ip firewall nat add chain=dstnat protocol=tcp src-address=192.168.0.0/24 dst-port=
80 action=redirect to-ports=8080

Ничего в браузере у клиентов прописывать в этом случае НЕ НУЖНО!

rosalin
Если в настройках прокси у тебя в статусной строке написанно enable и порт совпадает с указанным в правиле, то проверяй не блокирует ли файрвол входящий трафик от локальных клиентов на порт 8080.


Цитата:

/ip firewall filter add action=accept disabled=no src-address=192.168.0.0/24 protocol=tcp dst-port=8080 chain=input

Ну и разумеется не стоят ли какие либо ACL в настройках прокси. По-умолчанию оно пропускает всех.

faust72rus
Я его вообще-то просил работу прокси проверить, а про правило я и написал что оно реализует прозрачный прокси. Может мы друг друга не поняли?

Привет всем, подскажите пожалуйста, как перенести настройки с RB433 на RB800, пробовал выставлять такие же mac адреса на RB800, как и на 433, заливаю конфиг, интерфейсы не подхватываются, определяются, как новые и все правила выделяются красным - ошибки. И почему то вентилятор все время на RB800 начинает крутить рывками... Возвращаешь старый конфиг - крутит как обычно равномерно.

faust72rus
а какое правило правильнее использовать

9 chain=input action=accept protocol=tcp src-address=192.168.0.0/24 dst-port=8080
или
10 chain=input action=drop protocol=tcp in-interface=WAN dst-port=8080

Повторяю вопрос.

Хочу дома попробовать микроштык в вмваре воркстанции.
Подскажите беспроводную USB карточку, хорошую и годную для проброса.

Добавлено:
Вот здесь http://wiki.mikrotik.com/wiki/Supported_Hardware
упомянут единственный чипсет AR9271

Что, реально остальное ничто не работает?

Добавлено:
http://forum.ru-board.com/topic.cgi?forum=8&topic=38493&start=800#2

Подскажите!
на микротике есть правило chain=dstnat action=dst-nat to-addresses=10.*.0.1 to-ports=80 protocol=tcp dst-address=x.x.x.x dst-port=80 - трансляция на внутренний web сервер с внешней подсети.
из внешки всё подключается нормально, но когда я подключаюсь с локалки по внешнему адресу, то браузер ничего не выдаёт.
никак не могу понять в чём причина..

Newbie
faust72rus
Ребята
правильно расположил правило 4 ???
[admin@MikroTik] /ip firewall nat> print
Flags: X - disabled, I - invalid, D - dynamic
0 ;;; Web proxy
chain=dstnat action=redirect to-ports=8080 protocol=tcp dst-port=80
1 ;;; OpenVPN
chain=dstnat action=dst-nat to-addresses=192.168.0.6 to-ports=5000 protocol=udp
in-interface=WAN dst-port=5000
2 ;;; Voyadger
chain=dstnat action=dst-nat to-addresses=192.168.0.6 to-ports=3053 protocol=tcp
in-interface=WAN dst-port=3053
3 chain=dstnat action=dst-nat to-addresses=192.168.0.6 to-ports=3055 protocol=tcp
in-interface=WAN dst-port=3055
4 chain=srcnat action=masquerade src-address-list=!NoInternet out-interface=WAN

Добрый день,

Ребят такой вопрос, хочу штоб сотрудники не имели права качать файлы которые имеют больше 200МБ, код ниже не очень та работает, што не делаю правильно и как можно решить эту проблему ? Спасибо.

/ip firewall filter
add chain=forward connection-bytes=200000000-0 action=drop

rosalin
В твоём случае положение этого правило не важно, т.к. оно единственное по ветке srcnat.

По поводу запрета прокси из вне, нужно использовать правило ЗАПРЕЩАЮЩЕЕ, так как по-умолчанию всё разрешено.

Добавлено:
eXtremer
Потренируйся на маленьких файлах. Оно их рубит? Трафик идёт? Сделай акшином логирование и проверь.



Добавлено:
sergartemyev
Непонятно зачем ты "замазал" внутренний адрес (параноя?)
ну вобщем сделай правило
chain=dstnat action=dst-nat to-addresses=10.*.0.1 to-ports=80 protocol=tcp dst-address=ТУТ АДРЕС МИКРОТИКА ВНУТРЕННИЙ dst-port=80

по идее поможет. Ну и файрвол проверь.

Да, простят меня модераторы, повторю свой вопрос.

Имеем МК 3,27, входящий канал 100М. Настроен pptp, канал пустой никого нет. Подключаюсь с win xp, по тестам вижу не более 12М, запускаю торенты, суммарно не выше 16М. Подключаюсь под тем же самым учетным данным с win 7. По тем же тестам вижу 60М, по торрентам 40. Такая же, в лучшую сторону, картина если подключаюсь freebsd 8.1. Что еще очень интересно, на xp в диспетчере задач отображается скорость подключения на vpn соединении 12М, а на win 7 100М. Ваши мысли по этому поводу....

faust72rus
спасибо

Demon
Физическое подключение одинаковое? При работе без VPN, напрямую через физику, какая скорость? Ограничение по количеству соединений в XP не пробовал менять (что это и с чем это едят = вопрос для другой темы)?

Привет, помогите, пожалуйста с api. Хочу отключить пользователя, подключающегося через PPP. Через консоль всё просто "ppp secret disable Usr1"
Пробую то же удалённо через api "/ppp/secret/disable/Usr1" - ругается, говорит, что команда не найдена

Fomichok2
непонял как ты через api передаёшь эту команду, оболочку написал или как?
Ну и команда неверная, вот верный вариант:

Цитата:

/ppp secret disable numbers=1

Телнетом пробовал? Через ssh?

faust72rus
Да. Оболочку написал. Там обычная передача данных по TCP.

Цитата:

Ну и команда неверная

У меня написанный мной вариант работает. И твой вариант работает. А вызов через API- ругается.
Причём, если отправлять команду "/ppp/secret/disable", mikrotik отвечает "done!" типа команда выполнена, если писать либо "/ppp/secret/disable 1" либо "/ppp/secret/disable numbers=1", то уже команда не найдена

Fomichok2
Оболочку в студию. Лог дебаг в студию.

Уже разобрался Оказывается команды и параметры нужно отсылать отдельными сообщениями. Вначале отсылается "/ppp/secret/disable", следующим сообщением "=numbers=Usr1"

Fomichok2
Угу всё это есть в документации.

faust72rus

Цитата:

Физическое подключение одинаковое? При работе без VPN, напрямую через физику, какая скорость? Ограничение по количеству соединений в XP не пробовал менять (что это и с чем это едят = вопрос для другой темы)?

Физическое подключение одно и то же. Все подключалось к одному и тому же джеку. Без vpn не пробовал. Ограничение по количеству соединений вряд ли влияет при замере скорости на speedtest.net

Demon
Пробуй без VPN.
В микротике же у тебя никаких политик\шейперов\проксей нету?

Demon
Я бы не слишком доверял встроенной в windows информации о соединениях. Замерь время передачи какого-нибудь большого файла и потом делай выводы. speedtest.net тоже не доверенный ресурс - случалось он показывал 80 мбит на моем ноуте подключенном через wifi