Germanus Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Предыдущие части темы   Официальный сайт   Данная тема создана для обмена информацией по вопросам и проблемам настройки MikroTik RouterOS Тема в варезнике   актуальные версии RouterOS: Stable: 7.19.6 changelogs Testing: 7.20rc3 Stable: 6.49.19 Long-term: 6.49.18 актуальная версия SwitchOS: 2.19 актуальная версия WinBox: 3.42 32/64-bit Подробнее... Mikrotik — Плюсы и минусы FAQ по особенностям и тонкостям MikroTik RouterOS  Перейти Официальная документация: MikroTik Documentation Packet Flow in RouterOS (важно знать для понимания сути происходящего в файрволе и шейпере) News Система управления пользователями встроенная в RouterOS (RADIUS server) Официальные ресурсы: Форум Демо-сайт с веб-интерфейсом системы №1, №2        Подробнее... MikroTik User Meeting(Конференции пользователей Mikrotik)        Подробнее... "Хардварные решения" DESIGNS.MIKROTIK.COM - сервис для брендирования продукции Mikrotik. Twitter Mikrotik MikroTik Training (Хочешь на тренинг? Получить сертификат?) Предыдущие версии RouterOS Подробнее...    История релизов  Подробнее... Mikrotik Wireless Link Calculator Неофициальная русскоязычная документация    Перейти Обсуждение ROS(форумы)    Перейти Обзоры продуктов RouterBOARD    Перейти Русскоязычные ресурсы интернет-магазинов и блоггеров по настройке и тонкостям Mikrotik:     Mikrotik Ukraine   lanmart.ru   Блог podarok66   technotrade.com.ua     forum.mikrotik.by   slagovskiy.blogspot.com   sibirskiy.blogspot.com   mstream.com.ua     pvsm.ru   ...   axiom-pro.ru   arxont.blogspot.com   habrahabr.ru     ixnfo.com   wel.org.ua   aboutmikrotik.info   papa-admin.ru     netair.by   notme.org.ua   forummikrotik.ru   asp24.com.ua Смежные ресурсы   VPN + OSPF в картинках. MikroTik Config Parser mikrotik.vetriks.ru // текущий бэкап шапки.. Всего записей: 4464 | Зарегистр. 08-06-2003 | Отправлено: 11:02 07-03-2019 | Исправлено: alexnov66, 12:34 17-09-2025

Molt Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: инпут запрещен кроме разрешенного. А правило (дефолтное) куда дели? Код: /ip firewall filter add chain=input action=accept connection-state=established,related,untracked comment="defconf: accept established,related,untracked" Это правило позволяет работать dns-резолву, ntp-clientу, ходить за обновлениями, иницировать всякие впн и т.д, т.е. для соединений, которые инициирует сам микротик. При этом все внешние входящие на wan будут закрыты*.   То что у вас не работает обновление без вашего правила говорит только о том, что конкретно у вас что-то не то с фаерволлом. Это частный случай, его нельзя проецировать на другие случаи.     --- upd: * в дефолте они закрываются одним таким правилом Код: /ip firewall filter add chain=input action=drop in-interface-list=!LAN comment="defconf: drop all not coming from LAN"   Для наглядности эти два правила в порядке следования в дефолтном фаерволле (помним, что цепочка output в дефолте не ограничена, т.е. пакеты с самого микротика уходят без ограничений) Код: /ip firewall filter add chain=input action=accept connection-state=established,related,untracked comment="defconf: accept established,related,untracked" add chain=input action=drop in-interface-list=!LAN comment="defconf: drop all not coming from LAN" Всего записей: 1356 | Зарегистр. 07-11-2004 | Отправлено: 10:37 08-06-2025 | Исправлено: Molt, 12:05 08-06-2025

alexnov66 Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Molt Цитата: А правило (дефолтное) куда дели? Цитата: action=accept connection-state=established,related мне не нравится это правило, так как в нём пакеты разрещаются и ниже правилами уже не обрабатываются, у меня оно с дропом, всё кроме established,related Всего записей: 1598 | Зарегистр. 29-08-2005 | Отправлено: 15:29 08-06-2025 | Исправлено: alexnov66, 15:30 08-06-2025

Molt Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: мне не нравится это правило, так как в нём пакеты разрещаются и ниже правилами уже не обрабатываются Ключевой вопрос - какие именно пакеты? И почему они должны проходить через все правила в цепочке фаерволла?   И почему так получается, что ваше правило позволит любому, кто будет за ip 159.148.147.251 постучать в ваш 80й порт абсолютно неконтролируемо и безнаказанно, независимо от вашего на то желания. Потому что он (этот ip) может выступить инициатором соединения. А вариант выше (который дефолт) такое поведение исключает. Всего записей: 1356 | Зарегистр. 07-11-2004 | Отправлено: 15:52 08-06-2025

alexnov66 Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Molt Цитата: кто будет за ip 159.148.147.251 постучать в ваш 80й порт вы правило не внимательно смотрели и пытаетесь что то доказать. Всего записей: 1598 | Зарегистр. 29-08-2005 | Отправлено: 17:05 08-06-2025

Molt Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: вы правило не внимательно смотрели и пытаетесь что то доказать. Что помещает отправить tcp пакет на порт 80 с 159.148.147.251 в сторону вашего микротика. Который пройдет это правило. Или вы о чем? Всего записей: 1356 | Зарегистр. 07-11-2004 | Отправлено: 19:33 08-06-2025

alexnov66 Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Molt Цитата: отправить tcp пакет на порт 80 с 159.148.147.251 в сторону вашего микротика у меня 80 порт закрыт, если бы внимательно смотрели правило то там указан src порт а не dst, а адрес это микротиковский обновления. Всего записей: 1598 | Зарегистр. 29-08-2005 | Отправлено: 19:45 08-06-2025 | Исправлено: alexnov66, 19:54 08-06-2025

Molt Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: у меня 80 порт закрыт, если бы внимательно смотрели правило то там указан src порт а не dst, а адрес это микротиковский обновления. А, ну извините. С 80 порта на любой ваш, тут уже особо и не важно. Важно то, что вы открываете доступ для ip, который не контролируете.     А теперь вопрос с подвохом. Как происходит установление tcp соединения и почему ответ приходит не с 80 порта.   Цитата: Ключевой вопрос - какие именно пакеты? И почему они должны проходить через все правила в цепочке фаерволла?   Всего записей: 1356 | Зарегистр. 07-11-2004 | Отправлено: 20:25 08-06-2025 | Исправлено: Molt, 20:29 08-06-2025

kot666 Full Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Добрый день! Не являюсь знатоком микротик, поэтому прошу совета. Хотели купить crs317-1g-16s+rm в качестве 10Гб коммутатора. Но все 16 портов нам не нужны, и возник вопрос, а нельзя ли загрузить роутерОС, в которой часть портов перевести в режим коммутатора, что бы не резалась скорость из-за фильтров? Господа, подскажите, не сочтите за труд. Всего записей: 548 | Зарегистр. 06-02-2006 | Отправлено: 14:21 11-06-2025

Chupaka Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору kot666 Цитата: а нельзя ли загрузить роутерОС, в которой часть портов перевести в режим коммутатора, что бы не резалась скорость из-за фильтров? Из-за каких фильтров?   В целом, из RouterOS вы можете настраивать Switch Rules, коих в этом коммутаторе можно создать 1024 штуки - они работают на уровне свитч-чипа, аппаратно. Всего записей: 3752 | Зарегистр. 05-05-2006 | Отправлено: 18:04 11-06-2025

kot666 Full Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Chupaka Я посмотрел результаты тестирования в Вики. Скорость аппаратной коммутации, на три порядка выше программной. Как я понял, в swOS используется аппаратная, а в routerOS - программная. Решил уточнить у специалистов, уже имеющих микротик и опыт работы с ним. =)   Добавлено: Почитал по вашей ссылке - понял, что вроде можно. =) Всего записей: 548 | Зарегистр. 06-02-2006 | Отправлено: 18:25 11-06-2025 | Исправлено: kot666, 19:06 11-06-2025

alexnov66 Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору mkom79 для доступа к ресурсам к внутренней сети на внутреннем интерфейсе должен быть включен прокси арп   https://yandex.ru/search/?lr=237&clid=2411726&rq=1&text=proxy+arp+mikrotik+%D1%87%D1%82%D0%BE+%D1%8D%D1%82%D0%BE&src=rec&serp-reload-from=rec_bottom   https://interface31.ru/tech_it/2020/03/nastraivaem-proxy-arp-dlya-vpn-podklyucheniy-na-routerah-mikrotik.html   Всего записей: 1598 | Зарегистр. 29-08-2005 | Отправлено: 16:22 26-06-2025

alexnov66 Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору serhio61 а если прописать в днс два имени с одним адресом, через впн подключаясь к внутренней сети должно нормально работать. Всего записей: 1598 | Зарегистр. 29-08-2005 | Отправлено: 14:33 27-06-2025

alexnov66 Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору serhio61 значит у вас не через впн сайты загружаются а через внешку, если клоуд на это реагирует. Всего записей: 1598 | Зарегистр. 29-08-2005 | Отправлено: 15:00 27-06-2025

alexnov66 Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору serhio61 Цитата: В Сети есть два сайта в моём понимании да и у многих означает в внутренней сети. Цитата: А вот bbbbb.bbb его(впн) на дух не переносит(защищён Cloudflare) значит что то не нравится клоуду, на микротике можно попробовать использовать другие днс, днс от клоуда не использую, какие то они глючные. или попробовать другой впн или вы на микротике что то не правильно настроили, обычно через впн нормально сайты открываются а какой сайт не работает, секрет что ли через впн массово может клоуд срабатывать с одного адреса скорее всего у вас не правильно настроен блокировка ресурсов, зачем заносить в блокировку сайты на которые сам заходишь Всего записей: 1598 | Зарегистр. 29-08-2005 | Отправлено: 16:30 27-06-2025 | Исправлено: alexnov66, 16:41 27-06-2025

melboyscout Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору serhio61 Ваши сайтьі?   Если да - возьмите в аренду еще один ІР и настройте так, чтоб для каждого сайта свой ІР.   Если NS сайтов на CF, то можна пустить ббб.ком не как direct, a proxy и   Как вариант, можна уже пустить весь трафик CF напрямую, отут ІР - https://www.cloudflare.com/ips/ Всего записей: 2012 | Зарегистр. 16-02-2010 | Отправлено: 16:59 27-06-2025

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » MikroTik RouterOS (часть 5)

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование