» MikroTik RouterOS (часть 3)

Подскажите, пож-ста в чем проблема.
На микротике (RB750G) настроили прозрачный прокси, сделали редирект в нате, и все замечательно, но периодически не открываются некоторые сайты с ошибкой gateway timeout.
Конфигурация прокси:
/ip proxy print
enabled: yes
src-address: 0.0.0.0
port: 8080
parent-proxy: 0.0.0.0
parent-proxy-port: 0
cache-administrator: "admin"
max-cache-size: none
cache-on-disk: no
max-client-connections: 1000
max-server-connections: 1000
max-fresh-time: 3d
serialize-connections: no
always-from-cache: no
cache-hit-dscp: 4
cache-drive: system

Настройки ната:
1 ;;; default configuration
chain=srcnat action=masquerade out-interface=ether1-gateway

2 chain=srcnat action=masquerade out-interface=pppoe-out1

3 chain=dstnat action=redirect to-ports=8080 protocol=tcp dst-port=80

Настроен PPPoE.
Отключаю проксю, вырубаю 3-тье правило ната, и все везде ходит. (К сожалению всякие контакты и одноклассники тоже)

Люди, подскажите пожалуйста, можно ли перенаправлять пользователей
при отрицательном балансе на веб-страницу, допустим созданную на uCoz, с сообщением о состоянии его баланса

wwwwwww7
иногда можно. подробности нужны. ничего другого не происходит при отрицательном балансе? как пользователь авторизуется?

DHCP сервер раздает адреса в локальной сети. Ничего другого при отрицательном балансе не происходит. Может по этому примеру http://asp24.com.ua/obzor/mikrotik-statji/mikrotik-raznoe/perenapravlyaem-poljzovatelya-pri-otritsateljnom-balanse-na-veb-stranitsu-s-soobshcheniem-o-sostoyanii-yego-balansa-chastj-vtoraya/, но тут перенаправление происходит на внутренний сервер (версия микротика 5.6).

wwwwwww7

Цитата:

но тут перенаправление происходит на внутренний сервер (версия микротика 5.6).

надо перенаправить на внутренний прокси, а там сделать action=deny redirect-to=URL_HERE

Chupaka, а подробней где нибудь почитать об этом можно.

wwwwwww7
не знаю...

всем привет! подскажите: настроил pptp,vpn конектиться, но сети не видно. что может быть не так????

Tocad1sco
учитесь излагать вопросы правильно и полно. какой сети? какие адреса в впн? почему вы считаете, что сеть должна быть видна?

з.ы. а если в свойствах LAN-интерфейса поставить ARP = proxy-arp?

извенити если неправильно выразился. вообщем надо из внешки конектиться к сети и юзать RDP. есть роутер микротик который дает интернет и на котором поднят рррое. до этого стоял дсл модем, конектились через vpn gj ip, на модеме стоял проброс порта. можно ли такое организовать на микротике? или какие есть варианты

Tocad1sco
так proxy-arp не помог, или вы половину сообщения моего проигнорировали?

нет не проигнорировал ну если в настройках роутера то стоит

Добавлено:

Tocad1sco

Цитата:

какие адреса в впн?

Добавлено:
ну и в сети, ессесно, тоже

Интерфейс: 192.168.1.7 --- 0x2
IP-адрес Физический адрес Тип
192.168.1.21 00-26-18-58-a8-8c динамический
192.168.1.222 6c-62-6d-aa-7a-b4 динамический

Интерфейс: 192.168.0.2 --- 0x10004
IP-адрес Физический адрес Тип
192.168.0.1 00-0c-42-85-ff-95 статический

на роутере адреса 192.168.0.220

Tocad1sco
http://www.mikrotik.com/testdocs/ros/3.0/ip/address.php , раздел Proxy ARP feature

ещё такая весчь, роутер включен во вторую сетевую на сервере. инет раздается через UserGate, подсети разные. arp-proxy сделал, толку 0 что посоветуете

Добавлено:
всех благодарю, разобрался, все заработало

Chupaka
возвращаюсь к настройки firewall filter, а именно какие же все таки нужны правила для защиты роутера и локальной сети за ним от попыток подключений из вне и т.д.
есть куча вариантов на разных форумах, и все они разнятся, речь не идет о специальных правилах пробросов портов, запрет каких то ресурсов или каких то локальных ip и тд., посмотрев на правило для линукса, который запрещает доступ снаружи во внутреннюю сеть:


Код: iptables -A FORWARD -i eth0 -o eth0 -j REJECT

Цитата:

правило для линукса, который запрещает доступ снаружи во внутреннюю сеть:


Код:iptables -A FORWARD -i eth0 -o eth0 -j REJECT

вообще-то именно это правило вроде как запрещает маршрутизацию внутри сети... =)


Цитата:

какие например можно рубить порты что бы у пользователей не было проблем с играми, программами и т.д.

нужно ли?

Цитата:

нужно ли?

знал бы не спрашивал
есть куча мануалов где это есть, вот и спрашиваю нужно это или нет, или же достаточно заблокировать доступ к тику всем кроме себя и остальное закроет NAT.
а если и есть какие то соединения из вне в локальную сеть на какой то пк то это проблема того пк.

vlh
если сказывается только боязнь входящих подключений - то да, за натом ничего левого особо не войдёт. а с вирусами я стараюсь бороться адаптивными методами, а не зарубанием всего и вся

типа как http://forum.mikrotik.com/viewtopic.php?f=2&t=54607

Chupaka
спасибо, почитал, то есть получается то что если стоит ограничение на количество TCP сессий на один ПК это не спасает? он же должен просто дропать все что выше и тем самым не грузить роутер или я не совсем правильно перевел твой топик?
и если можно вкратце при каких обстоятельствах срабатывают эти правила.

vlh
эти правила ловят людёф, которые создают кучу соединений на один и тот же адрес. а ограничение на количество сессий, несколько тысяч раз в секунду пересчитывающее число этих самых сессий, отправляет роутер в нокаут

Chupaka
вписал правила, и поставил в самый вверх, примерно час первое и третье правило ловили одинаковое количество пакетов, потом под второе правило попало 54 пакета и под 4 и 5 по 2.
я так понимаю что 1 и 3 правило это вход и выход пакетов а вот остальные это уже как раз дроп.
в данный момент под 2 и 4,5 правило ни чего не попадает, то есть получается что с какого то ПК происходит большое количество запросов на один ip.

vlh
там всего пять правил, о каком шестом речь?!?

поправил пост

Цитата:

в данный момент под 2 и 4,5 правило ни чего не попадает

значит, всё хорошо =)

Цитата:

значит, всё хорошо =)

это я понимаю, в адресс-листе создаются группы, я так понимаю туда должны попадать ip?

Добавлено:
и так в адрес-лист попали два ip с моей сети и два ip внешней, как это объяснить? то есть с этих ip на внешние ip было сделано больше 50 запросов за 10сек? и они были заблокированы на 10мин.
то есть получается при нормальной работе разных сетевых программ (скайп, аська, игры, торрент и т.д.) такого не должно происходить? и если правила заблокировали эти запросы с этих пк то скорее всего на них есть вирусы или еще что не желательное.

vlh

Цитата:

как это объяснить? то есть с этих ip на внешние ip было сделано больше 50 запросов за 10сек?

нет. это значит, что за секунду было установлено более 50 новых соединений конкретным пользователем на конкретный сервер (т.е. по 25 соединений на два сервера не детектируются)
после добавления этих правил у меня околостамегабитный канал не просел ни разу, пользователи не бунтуют, правило блокирует порядка 2-4 тысяч пакетов в секунду, с трафиком от 4 (когда только http-атаки) до 30 мегабит (когда появляется udp-трафик с большими пакетами)
правила не блокируют пользователей в целом, а только трафик на "атакуемые" серверы

Добрый день!
Есть роутер RB493G и 4 АР RB711 (для каждой своя подсеть). В 493 в Queues разрулен общий входящий объем траффика между всеми AP. Теперь мне нужно правило для каждой AP, чтобы лимит для каждой AP динамически равномерно распределялся между подключенными юзерами, т.е. если лимит для AP - 500Кб, то для 1 юзер получит 500Кб, 4 - по 125Кб и т.д. Читал про PCQ, но до конца не понял...

MoJo

Цитата:

Читал про PCQ, но до конца не понял

так там ничего и не надо понимать, PCQ так делает "из коробки". надо просто сменить тип существующей очереди на новосозданный PCQ