Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » MikroTik RouterOS (часть 2)

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

ShriEkeR (23-08-2010 21:26): MikroTik RouterOS (часть 3)  Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102

   

ShriEkeR



Moderator		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
 
 
MikroTik RouterOS часть 1
Официальный сайт : http://www.mikrotik.com
 
Данная тема создана для обмена информацией по вопросам и проблемам настройки MikroTik RouterOS
Тема в варезнике
 
 
 
последняя стабильная версия: v4.11
последняя бета-версия 5.x: 5.0beta6

 
 
 
Официальная документация:
  • http://wiki.mikrotik.com/wiki/Category:Manual
  • для версии 3 http://www.mikrotik.com/testdocs/ros/3.0/
  • для версии 2.9 http://www.mikrotik.com/docs/ros/2.9/
  • для версии 2.8 http://www.mikrotik.com/docs/ros/2.8/
  • RouterOS Packet Flow: http://wiki.mikrotik.com/wiki/Packet_Flow (важно знать для понимания сути происходящего в файрволе и шейпере)
     
    Обмен опытом пользователей MikroTik RouterOS: http://wiki.mikrotik.com/wiki/Main_Page
     
     
    Обсуждение ROS:
    Раздел форума PCRouter, посвященный MikroTik RouterOS
    Раздел форума DriverMania. Много полезного.
     
    Статьи:
    Краткий FAQ по настройке (первоисточник).
    Объединяем офисы с помощью Mikrotik
    Делим Интернет или QoS на Mikrotik (первоисточник).
    Установка и настройка ABillS + Mikrotik на Gentoo Linux.
    • Всего записей: 6382 | Зарегистр. 27-09-2004 | Отправлено: 14:26 15-09-2009 | Исправлено: Chupaka, 16:09 16-08-2010
    Chupaka



    Silver Member    		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    vlh
    dst-address-list=!ftp
    Всего записей: 3752 | Зарегистр. 05-05-2006 | Отправлено: 13:53 16-04-2010
    vlh

    Advanced Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Chupaka
    не понял...  
    в смысле надо только dst-address-list=!ftp
    а src-address-list=!ftp не надо?
    сейчас начали качать с IP который попадает под address-list и правило срабатывает
    так же сделал эти правила вторыми в списки Mangle:

    Код:
    add action=mark-packet chain=forward comment="" disabled=no !dst-address-list=\
        ftp in-Bridge-Port=wan-2 new-packet-mark=other_down \
        passthrough=yes
    add action=mark-packet chain=forward comment="" disabled=no in-Bridge-Port=\
        ether-1 new-packet-mark=other_upl passthrough=yes !src-address-list=\
        ftp  

    и пакеты тоже попадают... только не знаю все ли?
    Всего записей: 770 | Зарегистр. 21-11-2009 | Отправлено: 14:19 16-04-2010
    Chupaka



    Silver Member    		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    vlh
    эти правила нельзя добавить. нет такого параметра - "!dst-address-list"
     
    если указано dst-address-list=something, то правило ловит пакеты, предназначенные кому-либо в адрес-листе. если dst-address-list=!something - то пакеты, предназначенные тому, кого в адрес-листе нет. всё просто. дальше - по обстоятельствам
    Всего записей: 3752 | Зарегистр. 05-05-2006 | Отправлено: 14:33 16-04-2010
    vlh

    Advanced Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    что то я не понимаю...
    хорошо, задам по другому вопрос:
    метим пакеты для FTP:

    Код:
    add action=mark-packet chain=forward comment="" disabled=no dst-address-list=\
        ftp in-Bridge-Port=wan-2 new-packet-mark=ftp_down \
        passthrough=yes
    add action=mark-packet chain=forward comment="" disabled=no in-Bridge-Port=\
        ether-1 new-packet-mark=ftp_upl passthrough=yes src-address-list=\
        ftp

    пакеты вроде попадают, теперь как мне пометить все пакеты которые не попадают под
    данные правила на портах wan-2 и ether-1?
     
    Добавлено:
    нашел конечно вариант:

    Код:
    add action=mark-packet chain=forward comment="" disabled=no dst-address-list=\
        net in-Bridge-Port=wan-2 new-packet-mark=other_down \
        passthrough=yes
    add action=mark-packet chain=forward comment="" disabled=no in-Bridge-Port=\
        ether-1 new-packet-mark=other_upl passthrough=yes src-address-list=\
        net  

    в address-list создал 192.168.0.1-192.168.0.250 IP FTP в этот диапазон не
    попадает..
    но думаю это не лучший вариант...
     
    Добавлено:
    Chupaka

    Цитата:
    эти правила нельзя добавить. нет такого параметра - "!dst-address-list"

    а разве оно не трактуется как - все пакеты кроме пакетов которые предназначены для
    IP из адрес-лист?
    Всего записей: 770 | Зарегистр. 21-11-2009 | Отправлено: 15:01 16-04-2010 | Исправлено: vlh, 15:49 16-04-2010
    Chupaka



    Silver Member    		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору

    Цитата:
    а разве оно не трактуется как  

     

    Код:
    [admin@MikroTik] /ip firewall filter> ad !dst-address-list=preved              
    expected end of command (line 1 column 4)

     
    Добавлено:

    Цитата:
    как мне пометить все пакеты которые не попадают под  
    данные правила

    так и пометить:
     
    первое правило -
    Код:
    add action=mark-packet chain=forward dst-address-list=ftp in-Bridge-Port=wan-2 new-packet-mark=ftp_down

     
    второе -
    Код:
    add action=mark-packet chain=forward dst-address-list=!ftp in-Bridge-Port=wan-2 new-packet-mark=ftp_down

    поскольку другие параметры не меняются - то правила взаимоисключающие, что и требовалось
    Всего записей: 3752 | Зарегистр. 05-05-2006 | Отправлено: 16:39 16-04-2010
    vlh

    Advanced Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Chupaka

    Цитата:
    [admin@MikroTik] /ip firewall filter> ad !dst-address-list=preved              
    expected end of command (line 1 column 4)  

    не я конечно понимаю, что Вы могли подумать
    что я совсем уж ни как... но не до такой же степени....
    я почти всю голову себе сломал
    я в роде в предыдущих примерах так и писал...
    спасибо за ответ...
    Всего записей: 770 | Зарегистр. 21-11-2009 | Отправлено: 20:25 16-04-2010
    Vedmich



    Junior Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Chupaka добрый день, созрел вопрос такого характера:
    - есть ARP-List примерно состоящий из 300 пользователей, можно ли как-то экспортировать этот список (команда export не отработала почему-то), и использую полченные данные используя скрипт создать правила для firewall где будет фильтрация IP+MAC.
    За ранее спасибо.
    Всего записей: 131 | Зарегистр. 18-01-2010 | Отправлено: 09:48 17-04-2010
    ShokoAsahara

    Junior Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Я настроил ВПН. Пользователи подключаются, сидят в интернете. Но как мне сделать, что бы появлялись у них предупреждения об оплате интернета ? Выкидывало на страницу например каждые 5 или 10 минут ??
    Всего записей: 53 | Зарегистр. 18-02-2009 | Отправлено: 14:12 18-04-2010
    vlh

    Advanced Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    будет ли работать такая схема для приоритета трафика,
    пакеты вроде попадают, но не уверен что это правильно:

    Код:
    /queue type
    add kind=pcq name=Download pcq-classifier=dst-address pcq-limit=50 pcq-rate=0 \
        pcq-total-limit=2000
    add kind=pcq name=Upload pcq-classifier=src-address pcq-limit=50 pcq-rate=0 \
        pcq-total-limit=2000
     


    Код:
    /queue tree
    add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=0 \
        max-limit=0 name=ALL-download packet-mark=all_down parent=wlan-2 \
        priority=1 queue=Download
    add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=0 \
        max-limit=0 name=ALL-upload packet-mark=all_upl parent=ether-1 priority=1 \
        queue=Upload
    add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=0 \
        max-limit=0 name=FTP-download packet-mark=ftp_down parent=wlan-2 \
        priority=8 queue=Download
    add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=0 \
        max-limit=0 name=FTP-upload packet-mark=ftp_upl parent=ether-1 priority=8 \
        queue=Upload
     

     
    этим хотел добиться приоритета трафика all_down над ftp_down
    или вот это будет правильнее:

    Код:
    /queue tree
    add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=0 \
        max-limit=0 name=ALL-download packet-mark=all_down parent=wlan-2 \
        priority=1
    add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=0 \
        max-limit=0 name=ALL-upload packet-mark=all_upl parent=ether-1 priority=1
    add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=0 \
        max-limit=0 name=FTP-download packet-mark=ftp_down parent=ALL-download \
        priority=8 queue=Download
    add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=0 \
        max-limit=0 name=FTP-upload packet-mark=ftp_upl parent=ALL-upload \
        priority=8 queue=Upload
     

    в последнем варианте показывает одинаковую скорость как на all_down так и ftp_down
    только на ftp_down есть количество очередей, я так понимаю это и есть приоритет...
    Всего записей: 770 | Зарегистр. 21-11-2009 | Отправлено: 17:59 18-04-2010 | Исправлено: vlh, 18:11 18-04-2010
    Chupaka



    Silver Member    		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    vlh
    как намекает мануал,
    Цитата:
    priority (1..8) : Prioritize one child queue over other child queue. Does not work on parent queues (if queue has at least one child). One is the highest, eight is the lowest priority. Child queue with higher priority will have chance to reach its limit-at before child with lower priority and after that child queue with higher priority will have chance to reach its max-limit before child with lower priority. Priority have nothing to do with bursts.

     
    посколько везде limit-at и max-limit выставлены в ноль, priority здесь нечего делать
     
    Vedmich
    экспорт не отработал? прикольно... а что говорит?
     
    правила - можно как-то так попробовать:
     

    Код:
     
    /ip arp
    :foreach i in=[find !dynamic] do=[/ip firewall filter add <bla-bla-bla> src-mac-address=[get $i mac-address] src-address=[get $i address]]
     
    Всего записей: 3752 | Зарегистр. 05-05-2006 | Отправлено: 20:38 18-04-2010
    vlh

    Advanced Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Chupaka

    Цитата:
    посколько везде limit-at и max-limit выставлены в ноль, priority здесь нечего делать  

    понятно что пока мне не побороть это...
    тогда наверное пока сделаю шейпер на всех...
    то есть метим все пакеты которые проходят через wlan-2 и ether-1
    далее создаем тип с rate=0 то есть вся полоса будет делится поровну:
     

    Код:
    /queue type
    add kind=pcq name=Download pcq-classifier=dst-address pcq-limit=50 pcq-rate=0 \
        pcq-total-limit=2000
    add kind=pcq name=Upload pcq-classifier=src-address pcq-limit=50 pcq-rate=0 \
        pcq-total-limit=2000  

    далее шейпер:
     

    Код:
    /queue tree
    add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=0 \
        max-limit=0 name=ALL-download packet-mark=all_down parent=wlan-2 \
        priority=8 queue=Download
    add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=0 \
        max-limit=0 name=ALL-upload packet-mark=all_upl parent=ether-1 priority=8 \
        queue=Upload
     

    правильно ли будет параметр parent=wlan-2 в том плане что если шейпим через NAT то там выставляем globl-out а здесь надо указывать интерфейс?
    и не будит ли тормозов в такой схеме?
    Всего записей: 770 | Зарегистр. 21-11-2009 | Отправлено: 22:42 18-04-2010
    Chupaka



    Silver Member    		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору

    Цитата:
    правильно ли будет параметр parent=wlan-2 в том плане что если шейпим через NAT то там выставляем globl-out а здесь надо указывать интерфейс?

    очереди интерфейса (смотрим Packet Flow в шапке) работают с уже натированными пакетами, поэтому в ней нельзя различить адреса пользователей
     
    Добавлено:
    это к вопросу использования PCQ
    Всего записей: 3752 | Зарегистр. 05-05-2006 | Отправлено: 23:15 18-04-2010
    vlh

    Advanced Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Chupaka

    Цитата:
    очереди интерфейса (смотрим Packet Flow в шапке) работают с уже натированными пакетами, поэтому в ней нельзя различить адреса пользователей

    а если у меня нет NAT?
    тогда нужно указывать интерфейсы, а не globl-out?
    Всего записей: 770 | Зарегистр. 21-11-2009 | Отправлено: 21:50 19-04-2010
    Chupaka



    Silver Member    		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    vlh
    я вообще предпочитаю только global использовать - так понятнее, что и где происходит
    Всего записей: 3752 | Зарегистр. 05-05-2006 | Отправлено: 22:10 19-04-2010
    kuzyara

    Newbie    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    здравствуйте! знакомлюсь с микротиком, очень привлек постыми настройками динамического шейпера.  
     
    Хочется узнать можно ли делать графики скоростей не только всего канала, но и каждого пользователя(небольшой пионерлан).
    На эту тему слышал только по верхушкам, есть конкретный пример? а под abills?
     
    Буду благодарен за ссыль.
    Всего записей: 8 | Зарегистр. 19-01-2010 | Отправлено: 16:28 20-04-2010
    GawkV



    Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    что значит график скорости?
    статистика по пользователю?
    Всего записей: 221 | Зарегистр. 09-06-2006 | Отправлено: 17:09 20-04-2010
    besoff

    Junior Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    А как ограничить количество сессий создаваемое каждым юзвером в сети, с помощью огне стенки в микротике?
    Всего записей: 47 | Зарегистр. 12-06-2008 | Отправлено: 03:21 22-04-2010
    Chupaka



    Silver Member    		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору

    Цитата:
    как ограничить количество сессий создаваемое каждым юзвером в сети

    параметр connection-limit. действует, к сожалению, только на tcp-сессии
    Всего записей: 3752 | Зарегистр. 05-05-2006 | Отправлено: 03:57 22-04-2010
    besoff

    Junior Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Спасибо, понял(((
    Всего записей: 47 | Зарегистр. 12-06-2008 | Отправлено: 11:20 22-04-2010
    uraso

    Junior Member    		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    Привет всем.
    Большая просьба помочь в настройке сети.
    У меня такая ситуация : микротик RB750G . Выход в нет через PPoE.
    Порт 1 -WAN в нет
    Порт 2 -Lan  - к нему подключена  ТД  NANO2 - на раздачу интернета
    Порт3- Lan - к нему подключены домашние компютеры  3шт, с открытыми папками ....
     
    Задача такая - чтоб  те пользователи, кто получает нет из порта 2 получали только интернет
    а доступа к домашней сети, (порту 3)  не имели.   А  я мог из со своего компа, порта 3 зайти допустим на ту же точку доступа и проверить ее работу... Желательно чтоб оба интерфейса были в одной подсети....
    Всего записей: 99 | Зарегистр. 27-08-2006 | Отправлено: 11:24 22-04-2010 | Исправлено: uraso, 11:26 22-04-2010
       

    Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102

    Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » MikroTik RouterOS (часть 2)
    ShriEkeR (23-08-2010 21:26): MikroTik RouterOS (часть 3)


    Реклама на форуме Ru.Board.

    Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
    Modified by Ru.B0ard
    © Ru.B0ard 2000-2025

    BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

    Рейтинг.ru