cyb_x Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору     Официальный сайт : http://www.mikrotik.com   Данная тема создана для обмена информацией по вопросам и проблемам настройки MikroTik RouterOS Тема в варезнике       Официальная документация: http://wiki.mikrotik.com/wiki/Category:Manual для версии 3.х http://www.mikrotik.com/testdocs/ros/3.0/ для версии 2.9.х http://www.mikrotik.com/docs/ros/2.9/ для версии 2.8.х http://www.mikrotik.com/docs/ros/2.8/ RouterOS Packet Flow: http://wiki.mikrotik.com/wiki/Packet_Flow (важно знать для понимания сути происходящего в файрволе и шейпере)   Обмен опытом пользователей MikroTik RouterOS: http://wiki.mikrotik.com/wiki/Main_Page     Обсуждение ROS: Раздел форума PCRouter, посвященный MikroTik RouterOS Раздел форума DriverMania. Много полезного.   Статьи: Краткий FAQ по настройке (первоисточник). Объединяем офисы с помощью Mikrotik Делим Интернет или QoS на Mikrotik (первоисточник). Установка и настройка ABillS + Mikrotik на Gentoo Linux. Всего записей: 81 | Зарегистр. 18-10-2004 | Отправлено: 19:58 14-01-2006 | Исправлено: ShriEkeR, 15:58 02-09-2009

goletsa Gold Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Встал такой вопрос. Есть: 1) Социально агрессивная категория юзеров(студенты). 2) Роутер с RouterOS(2.9) Задача: Ограничить количество подключений с IP. Пробовал играться с Limit но чтото все равно куча пакетов идет... Всего записей: 5801 | Зарегистр. 21-06-2005 | Отправлено: 08:33 11-04-2008

Fader Advanced Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору goletsa мало инфы Всего записей: 898 | Зарегистр. 03-01-2004 | Отправлено: 11:51 11-04-2008

Noka Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Имеем 3 независимых провайдера интернет: orgus_lan dlm_net_realip dlm_vpn И локальную сеть: noka_lan     [admin@MikroTik] > ip address print   Flags: X - disabled, I - invalid, D - dynamic    #   ADDRESS            NETWORK         BROADCAST       INTERFACE        0   ;;; orgus_lan      213.135.125.93/29  213.135.125.88  213.135.125.95  orgus_lan        1   ;;; locnet      172.22.63.24/28    172.22.63.16    172.22.63.31    noka_lan        2   ;;; dlm_net      10.202.10.66/26    10.202.10.64    10.202.10.127   dlm_net          3   ;;; dlm_net_realip      83.146.114.170/30  83.146.114.168  83.146.114.171  dlm_net_realip  4   ;;; dlm_vpn      83.146.115.77/32   83.146.115.77   83.146.115.77   dlm_vpn       Для каждого провайдера существует свой gateway orgus_lan - 213.135.125.94 dlm_net_realip - 83.146.114.169 dlm_vpn - 83.146.115.77   [admin@MikroTik] > ip route print   1 A S 0.0.0.0/0   r 213.135.125.94           orgus_lan       Если указываю gateway по умолчанию 213.135.125.94, то все три сетевых интерфейса orgus_lan, dlm_net_realip, dlm_vpn, пингуются со стороны интернет, если указать gateway по умолчанию 83.146.114.169 или 83.146.115.77 то пингуются только соотвественно интерфейсы dlm_net_realip или dlm_vpn   Проблема в том, что когда провайдер orgus_lan со шлюзом 213.135.125.94 падает, то перестают пинговаться соотвественно все 3 интерфейса.   Как сделать так чтобы каждый сетевой интерфейс использовал свой шлюз?   Я попробовал пометить интерфейс dlm_net_realip и направить его на соответствующий шлюз:   [admin@MikroTik] ip firewall mangle> print Flags: X - disabled, I - invalid, D - dynamic    0   ;;; dlm_net_realip      chain=prerouting in-interface=dlm_net_realip action=mark-routing        new-routing-mark=dlmrealiproute3 passthrough=yes     [admin@MikroTik] > ip route print   1 A S 0.0.0.0/0   r 213.135.125.94           orgus_lan       2 A S 0.0.0.0/0   r 83.146.114.169           dlm_net_realip  mark:dlmrealiproute3   Но в результате, клиенты в моей локальной сети noka_lan которые с помощью NAT имеют доступ ко всем 3м сетям orgus_lan, dlm_net_realip, dlm_vpn, потеряли доступ к сети которую я помечал: dlm_net_realip     Что делать? в какую сторону мне двигаться далее? Всего записей: 142 | Зарегистр. 14-02-2003 | Отправлено: 19:42 14-04-2008 | Исправлено: Noka, 19:46 14-04-2008

Noka Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору quickgen Цитата: если у тебя в нате action=masquerade, Да имеено так сейчас и обстоит дело:   [admin@MikroTik] ip firewall nat> print Flags: X - disabled, I - invalid, D - dynamic    0   chain=srcnat out-interface=orgus_lan action=masquerade    1   chain=srcnat out-interface=dlm_net_realip action=masquerade    2   chain=srcnat out-interface=dlm_net action=masquerade    3   chain=srcnat out-interface=dlm_vpn action=masquerade     [admin@MikroTik] > ip firewall filter print forward   Flags: X - disabled, I - invalid, D - dynamic    0 X chain=forward action=accept    1   ;;; Allow ICMP Ping      chain=forward protocol=icmp action=accept    2   ;;; Drop invalid connection packets      chain=forward connection-state=invalid action=drop    3   ;;; Allow established connections      chain=forward connection-state=established action=accept    4   ;;; Allow related connections      chain=forward connection-state=related action= accept    5   ;;; Access to internet from nokacomp & nsrvdns      chain=forward src-address=172.22.63.21 action=accept    6   chain=forward src-address=172.22.63.18 action=accept    7   chain=forward src-address=172.22.63.19 action=accept    8   chain=forward src-address=172.22.63.20 action=accept    9   chain=forward src-address=172.22.63.26 action=accept     Цитата: то тебе надо это правило заменить и помимо меток создать 3 правила для ната с явным указанием ип, под которым будут маскарадиться клиенты, ходя на тот или иной интерфейс.   3 правила, для каждого клиента? 172.22.63.18, 19, 20, 21, 26 Если это возможно приведи пример такого правила.   Цитата: И в мангле устанавливай passthrough=no. Понятно, спасибо. Всего записей: 142 | Зарегистр. 14-02-2003 | Отправлено: 05:18 15-04-2008

Noka Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору quickgen Сделал, для всех 3х интерфейсов: Цитата:  /ip firewall mangle add chain=input comment="" in-interface=dlm_net_realip action=mark-connection new-connection-mark=dlm_net_realip-conn passthrough=yes disabled=no   add chain=output connection-mark=dlm_net_realip-conn action=mark-routing new-routing-mark=dlm_net_realip-route  passthrough=no comment="" disabled=no   /ip route add gateway=83.146.114.169 routing-mark=dlm_net_realip-route   Предварительный итог: теперь даже при недоступности шлюза orgus_lan 213.135.125.94 два оставшиеся интерфейса dlm_net_realip 83.146.114.169 и dlm_vpn 83.146.115.77   пингуются со стороны интернет (раньше не пинговались).   Но теперь перестали видеться со стороны интернет, сервисы которые были у меня за NATом, а имеено DNS сервер: Работал он с помошью проброса портов вот таким образом:   [admin@MikroTik] > ip firewall nat print Flags: X - disabled, I - invalid, D - dynamic    0   chain=srcnat out-interface=orgus_lan action=masquerade    1   chain=srcnat out-interface=dlm_net_realip action=masquerade    2   chain=srcnat out-interface=dlm_net action=masquerade    3   chain=srcnat out-interface=dlm_vpn action=masquerade    4   chain=dstnat dst-address=213.135.125.93 protocol=udp dst-port=53 action=dst-nat to-addresses=172.22.63.18 to-ports=53    5   chain=dstnat dst-address=213.135.125.93 protocol=tcp dst-port=53 action=dst-nat to-addresses=172.22.63.18 to-ports=53    6   chain=dstnat dst-address=83.146.114.170 protocol=udp dst-port=53 action=dst-nat to-addresses=172.22.63.18 to-ports=53    7   chain=dstnat dst-address=83.146.114.170 protocol=tcp dst-port=53 action=dst-nat to-addresses=172.22.63.18 to-ports=53    8   chain=dstnat dst-address=83.146.115.77 protocol=udp dst-port=53 action=dst-nat to-addresses=172.22.63.18 to-ports=53    9   chain=dstnat dst-address=83.146.115.77 protocol=tcp dst-port=53 action=dst-nat to-addresses=172.22.63.18 to-ports=53     [admin@MikroTik] > ip firewall filter print forward   Flags: X - disabled, I - invalid, D - dynamic   14   chain=forward in-interface=orgus_lan dst-address=172.22.63.18 protocol=udp dst-port=53 action=accept   15   chain=forward in-interface=orgus_lan dst-address=172.22.63.18 protocol=tcp dst-port=53 action=accept   16   chain=forward in-interface=dlm_net_realip dst-address=172.22.63.18 protocol=udp dst-port=53 action=accept   17   chain=forward in-interface=dlm_net_realip dst-address=172.22.63.18 protocol=tcp dst-port=53 action=accept   18   chain=forward in-interface=dlm_vpn dst-address=172.22.63.18 protocol=udp dst-port=53 action=accept   19   chain=forward in-interface=dlm_vpn dst-address=172.22.63.18 protocol=tcp dst-port=53 action=accept Всего записей: 142 | Зарегистр. 14-02-2003 | Отправлено: 23:42 15-04-2008 | Исправлено: Noka, 23:46 15-04-2008

Noka Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору quickgen У меня уже есть: Цитата: 4   chain=dstnat dst-address=213.135.125.93 protocol=udp dst-port=53 action=dst-nat to-addresses=172.22.63.18 to-ports=53    6   chain=dstnat dst-address=83.146.114.170 protocol=udp dst-port=53 action=dst-nat to-addresses=172.22.63.18 to-ports=53    8   chain=dstnat dst-address=83.146.115.77 protocol=udp dst-port=53 action=dst-nat to-addresses=172.22.63.18 to-ports=53   Как я понимаю это и есть равносильно тому что ты предлагаешь: Цитата:  Создай в адрес-листе фаервола, list например под названием allow-dns. Запихни туда все ипшники которые тебе нужны. Далее создай всего-лишь одно правило:   /ip firewall nat add chain=dstnat src-address-list=allow-dns protocol=udp dst-port=53 action=dst-nat to-addresses=172.22.63.18 to-ports=53 Просто количество правил уменьшится,   Но у меня то перестал работать сам port forwarding   Цитата:  Но теперь перестали видеться со стороны интернет, сервисы которые были у меня за NATом, а имеено DNS сервер: Работал он с помошью проброса портов вот таким образом:   Подозреваю что пакеты которые пересылаются на DNS сервер с помошью dstnat тоже нужно както пометить и потом роутить, чтобы port forwarding заработал снова. Всего записей: 142 | Зарегистр. 14-02-2003 | Отправлено: 15:09 16-04-2008 | Исправлено: Noka, 15:10 16-04-2008

Noka Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору quickgen Цитата:  а должно быть source-address. сделал: Цитата: /ip firewall nat add chain=dstnat src-address-list=allow-dns protocol=udp dst-port=53 action=dst-nat to-addresses=172.22.63.18 to-ports=53 через это правило трафик не проходит, port forwarding  перестал работать Вернул свои: Цитата:  [admin@MikroTik] > ip firewall nat print Flags: X - disabled, I - invalid, D - dynamic    0   chain=srcnat out-interface=orgus_lan action=masquerade    1   chain=srcnat out-interface=dlm_net_realip action=masquerade    2   chain=srcnat out-interface=dlm_net action=masquerade    3   chain=srcnat out-interface=dlm_vpn action=masquerade    4   chain=dstnat dst-address=213.135.125.93 protocol=udp dst-port=53 action=dst-nat to-addresses=172.22.63.18 to-ports=53    5   chain=dstnat dst-address=213.135.125.93 protocol=tcp dst-port=53 action=dst-nat to-addresses=172.22.63.18 to-ports=53    6   chain=dstnat dst-address=83.146.114.170 protocol=udp dst-port=53 action=dst-nat to-addresses=172.22.63.18 to-ports=53    7   chain=dstnat dst-address=83.146.114.170 protocol=tcp dst-port=53 action=dst-nat to-addresses=172.22.63.18 to-ports=53    8   chain=dstnat dst-address=83.146.115.77 protocol=udp dst-port=53 action=dst-nat to-addresses=172.22.63.18 to-ports=53    9   chain=dstnat dst-address=83.146.115.77 protocol=tcp dst-port=53 action=dst-nat to-addresses=172.22.63.18 to-ports=53     [admin@MikroTik] > ip firewall filter print forward   Flags: X - disabled, I - invalid, D - dynamic   14   chain=forward in-interface=orgus_lan dst-address=172.22.63.18 protocol=udp dst-port=53 action=accept   15   chain=forward in-interface=orgus_lan dst-address=172.22.63.18 protocol=tcp dst-port=53 action=accept   16   chain=forward in-interface=dlm_net_realip dst-address=172.22.63.18 protocol=udp dst-port=53 action=accept   17   chain=forward in-interface=dlm_net_realip dst-address=172.22.63.18 protocol=tcp dst-port=53 action=accept   18   chain=forward in-interface=dlm_vpn dst-address=172.22.63.18 protocol=udp dst-port=53 action=accept   19   chain=forward in-interface=dlm_vpn dst-address=172.22.63.18 protocol=tcp dst-port=53 action=accept Видимо всеже внешний IP с которого перенапрявлю пакеты на компьютер в локалку, нужно писать под dst-address Эти правила я делал по примеру http://pcrouter.ru/ipb/index.php?showtopic=54 Всего записей: 142 | Зарегистр. 14-02-2003 | Отправлено: 13:25 17-04-2008 | Исправлено: Noka, 13:27 17-04-2008

Noka Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору quickgen Цитата: Заметь что по той ссылке что ты мне дал, нигде не указан dst-address в примерах Да я заметил, это был мой личный изврат, сейчас попробуем как ты предложил.   Убрал: Цитата: [admin@MikroTik] > ip firewall filter print forward   Flags: X - disabled, I - invalid, D - dynamic   14   chain=forward in-interface=orgus_lan dst-address=172.22.63.18 protocol=udp dst-port=53 action=accept   15   chain=forward in-interface=orgus_lan dst-address=172.22.63.18 protocol=tcp dst-port=53 action=accept   16   chain=forward in-interface=dlm_net_realip dst-address=172.22.63.18 protocol=udp dst-port=53 action=accept   17   chain=forward in-interface=dlm_net_realip dst-address=172.22.63.18 protocol=tcp dst-port=53 action=accept   18   chain=forward in-interface=dlm_vpn dst-address=172.22.63.18 protocol=udp dst-port=53 action=accept   19   chain=forward in-interface=dlm_vpn dst-address=172.22.63.18 protocol=tcp dst-port=53 action=accept Поставил: Цитата: /ip firewall nat   add chain=dstnat protocol=udp dst-port=53 action=dst-nat to-addresses=172.22.63.18 to-ports=53 add chain=dstnat protocol=tcp dst-port=53 action=dst-nat to-addresses=172.22.63.18 to-ports=53   Данные правила работают одинаково.   т.е. как и раньше port forwarding  работает только когда указан шлюз по умолчанию: Цитата: [admin@MikroTik] >ip route print   1 A S 0.0.0.0/0                          r 213.135.125.94           orgus_lan       2   S 0.0.0.0/0                          r 83.146.114.169           dlm_net_realip и не работает когда указан любой другой шлюз: Цитата: [admin@MikroTik] >ip route print   1 S 0.0.0.0/0                          r 213.135.125.94           orgus_lan       2 A S 0.0.0.0/0                          r 83.146.114.169           dlm_net_realip   Мангл включен и в данный момент имеет следующий вид: Цитата: [admin@MikroTik] > ip firewall mangle print Flags: X - disabled, I - invalid, D - dynamic    0   chain=input in-interface=dlm_net_realip action=mark-connection new-connection-mark=dlm_net_realip-conn passthrough=yes    1   chain=output connection-mark=dlm_net_realip-conn action=mark-routing new-routing-mark=dlm_net_realip-route passthrough=no    2   chain=input in-interface=dlm_vpn action=mark-connection new-connection-mark=dlm_vpn-conn passthrough=yes    3   chain=output connection-mark=dlm_vpn-conn action=mark-routing new-routing-mark=dlm_vpn-route passthrough=no    4   chain=input in-interface=orgus_lan action=mark-connection new-connection-mark=orgus_lan-conn passthrough=yes    5   chain=output connection-mark=orgus_lan-conn action=mark-routing new-routing-mark=orgus_lan-route passthrough=no     [admin@MikroTik] > ip route print   1 A S 0.0.0.0/0                          r 213.135.125.94           orgus_lan       2   S 0.0.0.0/0                          r 83.146.114.169           dlm_net_realip 3 A S 0.0.0.0/0      r 83.146.114.169           dlm_net_realip   mark:dlm_net_realip-route 4 A S 0.0.0.0/0      r 83.146.115.77            dlm_vpn          mark:dlm_vpn-route   5 A S 0.0.0.0/0      r 213.135.125.94           orgus_lan        mark:orgus_lan-route Всего записей: 142 | Зарегистр. 14-02-2003 | Отправлено: 16:49 17-04-2008 | Исправлено: Noka, 16:58 17-04-2008

Noka Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору quickgen Цитата: давай мангл подрихтуем таким образом:   Через правило: Цитата: add chain=output packet-mark=dlm_net_realip-pkts action=mark-routing new-routing-mark=dlm_net_realip-route passthrough=no пакеты и трафик не проходят, Через: Цитата: add chain=input in-interface=dlm_net_realip action=mark-connection new-connection-mark=dlm_net_realip-conn passthrough=yes   add chain=input connection-mark=dlm_net_realip-conn action=mark-packet new-packet-mark=dlm_net_realip-pkts passthrough=yes   Трафик проходит пока там присутствует passthrough=yes   Цитата: Выключай фаервол полностью на время игры с этими значениями, чтобы точно знать что он трафик не блокирует. А как выключать, я включаю следующие правила в начале: Цитата: [admin@MikroTik] > ip firewall filter print   Flags: X - disabled, I - invalid, D - dynamic   0   chain=forward action=accept   1   chain=input action=accept   2   chain=output action=accept Всего записей: 142 | Зарегистр. 14-02-2003 | Отправлено: 16:49 18-04-2008 | Исправлено: Noka, 16:52 18-04-2008

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » MikroTik RouterOS

ShriEkeR (15-09-2009 14:27): лимит страниц. продолжаем в MikroTik RouterOS (часть 2)

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование