MikroTik RouterOS - [15] :: В помощь системному администратору

SealXTX

Цитата:

Просто, в качестве визуального примера, можешь выложить свой скрипт

пожалста, только комменты убери, я их сейчас для наглядности вставил

Код:

# присваиваем имена интерфейсам
/int ethernet
set 0 name=external
set 1 name=dslam
# отключаем ненужные интерфейсы
dis 2
dis 3
dis 4

# поднимаем служебный влан для управления
/int vlan
add name=management vlan-id=10 interface=external
enable 0

# присваиваем адреса на интерфейсы
/ip address
add address=10.2.1.31/24 interface=external
add address=10.1.10.31/24 interface=management
add address=10.2.31.1/24 interface=dslam

# минимальный роутинг
/ip route
add dst-address=0.0.0.0/0 gateway=10.2.1.4

# называем рутер
/system identity
set name=rt-31.мой.домен

# заводим юзера с админ.правами и отключаем дефолтового админа
/user
add name=raredemon password=пароль

group=full
disable 0

# настраиваем профиль для пппое подключений
/ppp profile
add name="PPPoE_static" local-address=10.2.31.1 use-compression=default use-vj-compression=default use-encryption=default only-one=yes change-tcp-mss=yes dns-server=хх.хх.хх.2,хх.хх.хх.7

# типовые настройки фаера и фильтрации пакетов
/ip firewall filter
add chain=input action=accept connection-state=invalid comment="Drop invalid connection"
add chain=input action=accept dst-port=22 protocol=tcp src-address-list=Trusted comment="Разрешает ssh от Trusted"
add chain=input action=accept dst-port=8291 protocol=tcp src-address-list=Trusted comment="Разрешает winbox от Trusted"
add chain=input action=accept connection-state=established comment="Разрешает established connections"
add chain=input action=accept connection-state=related comment="Разрешает related connections"
add chain=input action=accept protocol=icmp comment="Разрешает ICMP"
add chain=input src-address=xx.xx.xx.194 protocol=tcp dst-port=179 action=accept comment="Разрешает BGP"
add chain=input action=drop comment="Дропает все остальное направленное на этот хост"
add chain=forward action=drop connection-state=invalid comment="Дропает invalid соединения в форварде"
add chain=forward action=reject reject-with=icmp-port-unreachable p2p=all-p2p src-address-list=!Allow-p2p comment="Дропает весь p2p"
add chain=forward action=reject reject-with=tcp-reset in-interface=dslam out-interface=external dst-port=25 protocol=tcp src-address-list=!Allowed-SMTP dst-address-list=!My-SMTP comment="Запрещаем SMTP направленные мимо наших серверов"
add chain=forward action=reject reject-with=icmp-network-unreachable in-interface=dslam src-address-list=!"My networks" comment="Дропать все кроме My networks"
add chain=forward action=reject reject-with=icmp-net-prohibited in-interface=dslam out-interface=management comment="Дропать все от клиентов в management интерфейс"

после всего этого надо добавить в уже готовые списки нужные адреса и рутер готов к работе, по необходимости остальное уже можно настроить через винбокс.

----------
Designed for Windows XP.
Powered by Gentoo!
Бесполезно рассказывать о высоком моральном облике коллектива человеку, имеющему доступ к логу прокси....

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR
ShriEkeR (15-09-2009 14:27): лимит страниц. продолжаем в MikroTik RouterOS (часть 2)	Версия для печати • Подписаться • Добавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106