Перейти из форума на сайт.Реклама на Ru.Board

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаФотогалереяГазетаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация


  nanoCAD 5.0. Умное рабочее проектирование. Поддерживает формат *.dwg

  Система IP-видеонаблюдения "Линия". Скачать демо-версию для 16 камер.





Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » MikroTik RouterOS (часть 2)

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

Новая версия Traffic Inspector 3.0

Интернет-шлюз для Windows. Интуитивный интерфейс, журнал действий администратора, u32 фильтрация, отслеживание поисковых запросов, поддержка 64-х битных версий ОС, прокси, сертифицированный межсетевой экран и биллинг, учет трафика, резервирование каналов, маршрутизация, контекстная фильтрация по категориям, управление скоростью и доступом, статистика и отчеты.

Узнать больше и скачать новую версию 3.0>>>

ShriEkeR (23-08-2010 21:26): MikroTik RouterOS (часть 3)  Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102

Открыть новую тему    

ShriEkeR



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
 
 
MikroTik RouterOS часть 1
Официальный сайт : http://www.mikrotik.com
 
Данная тема создана для обмена информацией по вопросам и проблемам настройки MikroTik RouterOS
Тема в варезнике
 
 
 
последняя стабильная версия: v4.11
последняя бета-версия 5.x: 5.0beta6

 
 
 
Официальная документация:
  • http://wiki.mikrotik.com/wiki/Category:Manual
  • для версии 3 http://www.mikrotik.com/testdocs/ros/3.0/
  • для версии 2.9 http://www.mikrotik.com/docs/ros/2.9/
  • для версии 2.8 http://www.mikrotik.com/docs/ros/2.8/
  • RouterOS Packet Flow: http://wiki.mikrotik.com/wiki/Packet_Flow (важно знать для понимания сути происходящего в файрволе и шейпере)
     
    Обмен опытом пользователей MikroTik RouterOS: http://wiki.mikrotik.com/wiki/Main_Page
     
     
    Обсуждение ROS:
    Раздел форума PCRouter, посвященный MikroTik RouterOS
    Раздел форума DriverMania. Много полезного.
     
    Статьи:
    Краткий FAQ по настройке (первоисточник).
    Объединяем офисы с помощью Mikrotik
    Делим Интернет или QoS на Mikrotik (первоисточник).
    Установка и настройка ABillS + Mikrotik на Gentoo Linux.

  • Всего записей: 6346 | Зарегистр. 27-09-2004 | Отправлено: 14:26 15-09-2009 | Исправлено: Chupaka, 16:09 16-08-2010
    Constantin_A

    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    RB600a можно ли использовать 4 карточки R52H?  
    в том плане. что не будут ли они мешать друг другу...  

     
    RB493 не получилось
    брал даже разные диапазоны 5 и 2 Ггц, как включаешь вторую карту на 1 начинаются траблы
     
    раз попробывал и все, саппорт выпучил глаза,  
    попробуйте если получиться отпишитесь буду искать "гавно" на руках.....

    Всего записей: 241 | Зарегистр. 06-12-2006 | Отправлено: 13:32 22-03-2010 | Исправлено: Constantin_A, 13:33 22-03-2010
    Iliasla

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Constantin_A
    Я бы экраны из толстой алюминиевой фольги сделал между картами. Экраны подключил к "земле" (нулю питания) сразу возле разъемов, ну и фольгу предварительно закатал бы в полиэтилен утюжком, чтобы не коротнуло потом где что.  
    А то, два радиоустройства впритык друг к другу... В связной и военной аппаратуре такие узлы всегда изолировали друг от друга.

    Всего записей: 125 | Зарегистр. 08-07-2005 | Отправлено: 20:32 22-03-2010 | Исправлено: Iliasla, 20:34 22-03-2010
    vlh

    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    вроде серьезные железки... зачем тогда столько разъемов на них делать

    Всего записей: 660 | Зарегистр. 21-11-2009 | Отправлено: 00:03 23-03-2010
    Constantin_A

    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    Я бы экраны из толстой алюминиевой фольги сделал между картами. Экраны подключил к "земле" (нулю питания) сразу возле разъемов, ну и фольгу предварительно закатал бы в полиэтилен утюжком, чтобы не коротнуло потом где что.  

    Вы не оригинальны )))) это было сделано , экран был сделан из тонкого 2хстороннего фольгированого гетинакса, заземлен, и не помогло, больше экспериментировать было некогда, линк был нужен в работе, на другой поставил отдельную железку.
     

    Всего записей: 241 | Зарегистр. 06-12-2006 | Отправлено: 04:25 23-03-2010
    vlh

    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    не подскажете правило которое ограничивает количество соединений в интернет
    на один хост в локальной сети?
    нашел вот это но почему то под него ни чего не попадает:
     

    Код:
    chain=forward src-address=10.10.20.0\24 protocol=tcp dst-port=0-65535
    tcp-flags=syn connection-limit=30,32 connection-state=new action=drop
     
    chain=forward src-address=10.10.20.0\24 protocol=tcp src-port=0-65535
    tcp-flags=syn connection-limit=20,32 action=accept

     
    вот это вроде работает:
     

    Код:
    chain=forward src-address=10.10.20.0\24 protocol=tcp connection-limit=30,32 action=drop

     
    что то попадает под это правило, но если посмотреть Totch на определенный адрес,
    то соединений например 81 и видно что он качает торрентом, потому как большая
    часть идет скачка маленьких файлов...

    Всего записей: 660 | Зарегистр. 21-11-2009 | Отправлено: 15:59 23-03-2010
    lyamoto

    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Всем ку!
     
    Подскажите плиз, вот 2 вопроса:
    (сетка, домен 2003, инет раздает микротик-хотспот,
    офисов много, в дальнейшем нужно все объеденить будет
    и в каждом такую систему, установлено пока в одном, RouterOS 3.3,
    атлончик 5000, гиг оперативы, сеть: RTL 8139D, DL10028(Dlink DFE 520TX)).
     
    1. С сервера 2003 не могу зайти на хотспот логин страничку(не прямо 192.168.2.1,
       не через редирект) итп,
       говорит нет такой странички, хотя юзеров пускает ессно, и они видят страничку
       авторизации, такая штука только на сервере. ПоЧему не пускает?
       просто на микротик веб заходит(пропускаю трафик серверный).
     
    2. Устанавливаю сейчас в новом офисе, hotspot+userman.
        Скажите други плиз, почему после установки hotspota не пускает
        в юзерманагер через веб? Вбил в микровский радиус юзера
        (хотспот остановил), все работает все норм, но если хотспот
        работает, то не пускает  в юзерман, говорит нет такой странички.

    Всего записей: 6 | Зарегистр. 19-03-2010 | Отправлено: 17:20 23-03-2010 | Исправлено: lyamoto, 17:23 23-03-2010
    Chupaka



    Silver Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    lyamoto
    есть мнение, что на Хотспоте надо сначала авторизоваться - и только потом можно получить доступ к "нормальному" веб-серверу РоутерОС

    Всего записей: 2426 | Зарегистр. 05-05-2006 | Отправлено: 17:22 23-03-2010
    lyamoto

    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    --есть мнение, что на Хотспоте надо сначала авторизоваться - и только потом можно получить доступ к "нормальному" веб-серверу РоутерОС--
     
    не помогает...
     
    Error 404: Not Found
     
     
    Вопрос еще, скажите плиз такой конфигурации хватит на 100 Мбит/с?
    (атлончик 5000, гиг оперативы, сеть: RTL 8139D, DL10028(Dlink DFE 520TX))
     
    Добавлено:
    http сервис на порт 8080 переназначил
    и после авторизации пустило нормально.
     
     А вот первый вопрос так и висит, хелп плиз, в чОм дело может быть?
    Побробнее:
    айпишники раздает ДХЦП на м-тике, привязка по макам,
    как в дхцп так и в хотспоте.
    Подсеть одна(192.168.2.0/24), но если с сервака входишь, чтобы авторизироваться,
    то ....ну стандартную веб морду показывает, там винбокс веббокс и тп,
    вообщем просто пропускает трафик хотспот по айпишнику-маку сервака,
    но инет на нем есть, остается только файрволом чтото типа
    дропать все что идет с сервака не в локальную сеть(192.168.0.0/16),
    но вопрос все равно остался....пАчИму так? должно все работать.

    Всего записей: 6 | Зарегистр. 19-03-2010 | Отправлено: 17:29 23-03-2010 | Исправлено: lyamoto, 21:42 23-03-2010
    besoff

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Подскажите пожалуста как отрубить не шифрованный трафик p2p чере микротик, при том что все клиенты получают нет по pppoe, спасибо огромное за овет!
     
    Добавлено:
    Жду ваше помощи!!!!Заранее спасибо!!!

    Всего записей: 47 | Зарегистр. 12-06-2008 | Отправлено: 02:04 24-03-2010
    Iliasla

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    lyamoto

    Цитата:
    Вопрос еще, скажите плиз такой конфигурации хватит на 100 Мбит/с?  
    (атлончик 5000, гиг оперативы, сеть: RTL 8139D, DL10028(Dlink DFE 520TX))

    Проца, пожалуй, хватит (для нескольких клиентов), а вот сетевух - нет. Поменяйте хотя бы на дешёвые гигабитные Realtek8169.
     
    besoff
    Блокировка протокола uTP, появившегося в uTorrent 2.0 (блокировать необходимо, ибо крайне нагружает оборудование и приводит, фактически, к DDOS-атакам извне на маршрутизатор).
    Блокировка обычных торрентов с 13 дня до 01 ночи.
    Ограничение TCP-сессий до 64-х на один IP-адрес клиента.
     
    /ip firewall layer7-protocol
    add comment="uTP_uTorrent" name="\\B5TP" regexp="\\\\x7F\\\\xFF\\\\xFF\\\\xFF\\\\xAB"
    /ip firewall filter
    add action=drop chain=forward comment="deny uTP traffic" disabled=no layer7-protocol="\\B5TP"
    add action=drop chain=forward comment="deny p2p traffic day" disabled=no p2p=all-p2p time=13h-23h59m59s,sun,mon,tue,wed,thu,fri,sat
    add action=drop chain=forward comment="deny p2p traffic night" disabled=no p2p=all-p2p time=0s-1h,sun,mon,tue,wed,thu,fri,sat
    add action=drop chain=forward comment="TCP connection limit (64-1)" connection-limit=64,32 disabled=no protocol=tcp tcp-flags=syn
     
    Остаются пока незаблокированными шифрованный траффик и (возможно) траффик на torrents.ru (в микротике нет сигнатур на него в протоколах p2p, нужно добавлять ещё один Layer7 протокол или блочить IP-адреса)

    Всего записей: 125 | Зарегистр. 08-07-2005 | Отправлено: 21:39 24-03-2010 | Исправлено: Iliasla, 21:46 24-03-2010
    besoff

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Iliasla Спасибо вам огромное, буду разбираться!!!

    Всего записей: 47 | Зарегистр. 12-06-2008 | Отправлено: 04:29 25-03-2010 | Исправлено: besoff, 04:36 25-03-2010
    lyamoto

    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    Проца, пожалуй, хватит (для нескольких клиентов), а вот сетевух - нет. Поменяйте хотя бы на дешёвые гигабитные Realtek8169.  
     

     
    странно, самый мощный железный тик 20 мбит/с,
    но камень на железных маршрутизаторах откровенно слабый(хватает на 20 мбит/с),
    по сравнению с 5000 атлоном. По идеи должно хватить проца
    с большим запасом, а сетевухи заменим если чо, спасибо
     
    Добавлено:

    Цитата:
    Проца, пожалуй, хватит (для нескольких клиентов), а вот сетевух - нет. Поменяйте хотя бы на дешёвые гигабитные Realtek8169.  
     

     
    странно, самый мощный железный тик 20 мбит/с,
    но камень на железных маршрутизаторах откровенно слабый(хватает на 20 мбит/с),
    по сравнению с 5000 атлоном. По идеи должно хватить проца
    с большим запасом, а сетевухи заменим если чо, спасибо

    Всего записей: 6 | Зарегистр. 19-03-2010 | Отправлено: 09:13 25-03-2010
    faust72rus



    Full Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    lyamoto
    Iliasla
    Вот мой системник в головном офисе. (аптайм маленький из-за ночного сбоя в питании офиса. )
       
    Через него подключены 8 филиалов по L2tp+IPSec. 200 ПК в головном офисе и 200 в филиаллах. Почтовый трафик 30 гигабайт в день.
       
     
    На нем 2 гигабитных сетевых карты 3com (только потому что нужны VLAN'ы) и 2 DFE 520TX. Работает на ура. Аптаймы обычно по 60 дней.

    Всего записей: 527 | Зарегистр. 28-10-2007 | Отправлено: 11:00 25-03-2010 | Исправлено: faust72rus, 11:03 25-03-2010
    lyamoto

    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Спасибо за информацию. Запас большой судя по скрину
    100% запас
     
    Подскажите плиз, КАК В ХОТСПОТЕ НЕ СЧИТАТЬ ЛОКАЛЬНЫЙ ТРАФИК?
    когда народ по впн файлы скидывает из одного офиса в другой
    трафик локальный, провайдер один.
     
     
    "DNS_guardian"  в микротике никто не поднимал такой вариант блокирвоания контета?
    подскажите где копать документацию на это
    дело в RouterOS(по категориям блокировать ашттп)
     
     
     

    Всего записей: 6 | Зарегистр. 19-03-2010 | Отправлено: 11:46 25-03-2010 | Исправлено: lyamoto, 12:17 25-03-2010
    faust72rus



    Full Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    lyamoto
    про  

    Цитата:
    "DNS_guardian"  в микротике никто не поднимал такой вариант блокирвоания контета?
    подскажите где копать документацию на это
    дело в RouterOS(по категориям блокировать ашттп)  

    вообще не понял, это где такое?
    У нас блокирование по категориям идёт через SQUID - он стоит в режиме прозрачного прокси, в мангле есть правило, оно маркирует пакеты идущие на внешние адреса на 80 порт (http), в таблице маршрутов есть роут для этих промаркированных пакетов, он заворачивает весь этот трафик (а получается что это только ВЕБ трафик, ничего лишнего) на сквид.

    Всего записей: 527 | Зарегистр. 28-10-2007 | Отправлено: 12:49 25-03-2010
    vlh

    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Iliasla
     

    Код:
    add action=drop chain=forward comment="TCP connection limit (64-1)" connection-limit=64,32 disabled=no protocol=tcp tcp-flags=syn

     
    это правило делает ограничение на каждый IP проходящий через интерфейс,
    или нужно в Src.Address явно указывать на какой IP.

    Всего записей: 660 | Зарегистр. 21-11-2009 | Отправлено: 14:39 25-03-2010
    lyamoto

    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    в ДНС в микротике можно прописывать
    автоматический редирект с порно на яндекс.
    просто "статически в кеш пишет" для таковато айпи
    такой то адрес.
    айпишник.порно.цом = www.ya.ru
    и тп.
    Нужно только базу подгрузить, что блокировать,
    подсовывая,например,яндекс вместо того, чего быть не должно.
    И все это дело можно по категориям бить,
    аля сквидгуард.
    Возможность есть, но как организовать блокировку?
    Где брать базы? Говорят есть они...спецально для такого метода.
     
    Дело не в прозрачном прокси и тп и не в маркировке пакетов,
    все это нето, если требуется закрыть "категорию" сайтов-адресов,
    ну например 1000 сайтов в категории порно и тп. 500 в рекламе,
    банеры и тп...
     
    Ну и ессно ставить отдельно сквид не вариант,
    тик все сам умеет, вопрос где найти документацию
    нормальную, а не справочник по командам.
     
    Кстати, если нужна большая пропускная способность,
    выше чем у кискО, то vyatta самое то. Коре версия бесплатная.
    Функционал пока наращивают в ней...(документация очень хорошая),
    а маршрутизаторы(железо) стоят в оО как дешевле кискО
     
     
     

    Всего записей: 6 | Зарегистр. 19-03-2010 | Отправлено: 14:52 25-03-2010 | Исправлено: lyamoto, 14:56 25-03-2010
    Iliasla

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    lyamoto, faust72rus
    Если 100 Мбит на торрентах, как я понял, то машину надо достаточно мощную.. Почтовый траффик куда меньшую нагрузку даёт.
     
    vlh

    Цитата:
    это правило делает ограничение на каждый IP проходящий через интерфейс,  
    или нужно в Src.Address явно указывать на какой IP

    На каждый. Там запись 64/32 означает к-во соединений/маску подсети, где маска 32 равна одному IP-адресу.
     
    lyamoto

    Цитата:
    если требуется закрыть "категорию" сайтов-адресов,  
    ну например 1000 сайтов в категории порно и тп. 500 в рекламе,  
    банеры и тп...  

    Микротик тут не особо помощник, не нужно на роутер вешать несвойственные ему функции блокиратора контента.

    Всего записей: 125 | Зарегистр. 08-07-2005 | Отправлено: 15:10 25-03-2010
    Vovcik81



    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Добрый день всем.  
     
    Помогите пожалуйста.  
    Как в Mikrotik насстроить блокировку сайтов не по домену и не по IP а по заголовку окна браузера. Ну например odnoklassniki  
     
     
    Заранее огромное спасибо!
     
    Добавлено:
    Добрый день всем.  
     
    Помогите пожалуйста.  
    Как в Mikrotik насстроить блокировку сайтов не по домену и не по IP а по заголовку окна браузера. Ну например odnoklassniki  
     
     
    Заранее огромное спасибо!

    Всего записей: 17 | Зарегистр. 12-07-2005 | Отправлено: 15:23 25-03-2010
    Chupaka



    Silver Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору

    Цитата:
    Как в Mikrotik насстроить блокировку сайтов не по домену и не по IP а по заголовку окна браузера. Ну например odnoklassniki  

    так а чем по домену плохо?.. *.odniklassniki.ru =)
    http://wiki.mikrotik.com/wiki/How_to_Block_Websites_%26_Stop_Downloading_Using_Proxy
     

    Цитата:
    если требуется закрыть "категорию" сайтов-адресов,  
    ну например 1000 сайтов в категории порно и тп. 500 в рекламе,  
    банеры и тп...  

    OpenDNS в помощь?.. http://www.opendns.com/

    Всего записей: 2426 | Зарегистр. 05-05-2006 | Отправлено: 15:44 25-03-2010 | Исправлено: Chupaka, 15:48 25-03-2010
    Открыть новую тему    

    Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102


    Интернет-шлюз ИКС. Все под контролем!
    Защита корпоративной сети, учет трафика, контентная фильтрация, SkyDNS, развертывание почтового, прокси, файлового, web-сервера, IP-телефония. Встроенный антивирус и антиспам.
    Сертифицировано ФСТЭК!!! Поддержка и обновления бесплатно.

    Подробнее./ Скачать демо-версию.

    Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » MikroTik RouterOS (часть 2)
    ShriEkeR (23-08-2010 21:26): MikroTik RouterOS (часть 3)


    Реклама на форуме Ru.Board.

    Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
    Modified by Ru.Board
    © Ru.Board 2000-2011