Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » MikroTik RouterOS (часть 2)

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

ShriEkeR (23-08-2010 21:26): MikroTik RouterOS (часть 3)  Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102

   

ShriEkeR



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
 
 
MikroTik RouterOS часть 1
Официальный сайт : http://www.mikrotik.com
 
Данная тема создана для обмена информацией по вопросам и проблемам настройки MikroTik RouterOS
Тема в варезнике
 
 
 
последняя стабильная версия: v4.11
последняя бета-версия 5.x: 5.0beta6

 
 
 
Официальная документация:
  • http://wiki.mikrotik.com/wiki/Category:Manual
  • для версии 3 http://www.mikrotik.com/testdocs/ros/3.0/
  • для версии 2.9 http://www.mikrotik.com/docs/ros/2.9/
  • для версии 2.8 http://www.mikrotik.com/docs/ros/2.8/
  • RouterOS Packet Flow: http://wiki.mikrotik.com/wiki/Packet_Flow (важно знать для понимания сути происходящего в файрволе и шейпере)
     
    Обмен опытом пользователей MikroTik RouterOS: http://wiki.mikrotik.com/wiki/Main_Page
     
     
    Обсуждение ROS:
    Раздел форума PCRouter, посвященный MikroTik RouterOS
    Раздел форума DriverMania. Много полезного.
     
    Статьи:
    Краткий FAQ по настройке (первоисточник).
    Объединяем офисы с помощью Mikrotik
    Делим Интернет или QoS на Mikrotik (первоисточник).
    Установка и настройка ABillS + Mikrotik на Gentoo Linux.

  • Всего записей: 6382 | Зарегистр. 27-09-2004 | Отправлено: 14:26 15-09-2009 | Исправлено: Chupaka, 16:09 16-08-2010
    Chupaka



    Silver Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    Vedmich
    для каждой НЕ-динамической (по предыдущим сообщениям я понял, что восклицательный знак надо убрать) арп-записи создаёт правило файрвола, в котором указан мак- и ip-адрес из арп-таблицы и другие параметры (bla-bla-bla: например, chain=чё-то-там и так далее)

    Всего записей: 3719 | Зарегистр. 05-05-2006 | Отправлено: 11:57 12-05-2010
    Vedmich



    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Все понял) спасибо большое но для верности опишу мое понимание, чтобы не ошибиться.

    Цитата:
    /ip arp
    :foreach i in=[find dynamic] do=[/ip firewall filter add <bla-bla-bla> src-mac-address=[get $i mac-address] src-address=[get $i address]]    

    Для каждой динамической записи создать правило файрвола в которое помещаеться мак+ip и то что сам там допишу все другие параметры? Я прав?
    Да кстати, есть еще один вопросик: можно ли сделать правило файрвола в которое будет разрешать доступ к одному компу от любого клиента.

    Всего записей: 131 | Зарегистр. 18-01-2010 | Отправлено: 12:20 12-05-2010
    Chupaka



    Silver Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    Vedmich
    да, именно так
     
    разрешать доступ - только по IP-адресу, в файрволе dst-mac-address ловить нельзя

    Всего записей: 3719 | Зарегистр. 05-05-2006 | Отправлено: 12:32 12-05-2010
    Vedmich



    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Chupaka так как мы тут писали не получилось сделать(вчера делал ночью на тестовой модели), но покапавшись в инете и немного изменив текст скрипта получилось. Вот в чем суть изменения, я ввел дополнительные локальные переменные и им уже присвоим динамические данные, а после уже их вписывал в правило файрвола, получилось в общем вот так:

    Цитата:
    :foreach i in=[find dynamic] do={ :local mac [get $i mac-address]; :local ip [get $i address]; /ip firemall filter add chain=forward in-interface=Public src-mac-address=$mac src-address=$ip }

    Да я все никак не могу понять смысл назначения in-interface - у меня есть клиент он включаться в интерфейс Local1, а интерфейсов 5, какой мне ставить? Если к примеру я хочу чтобы он имел доступ ко всей сети но не мог выйти в инет(доступ к интерфейсу Pulic), и что если я хочу чтобы кроме своего сегмента сети он ничего не видел.

    Всего записей: 131 | Зарегистр. 18-01-2010 | Отправлено: 09:55 13-05-2010
    cambit

    Full Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Доброго времени суток, Мастера!
    Подскажите, имею два выхода в интернет через АДСЛ модемы.
    Где можно прочитать как распределить, чтобы половина пользователей микротика ходили в инет через первый модем, а вторые - через второй?
    Я нашел одно описание, но оно наверное на другую версию микротика - нет таких вкладок - и ессно не работает.

    Всего записей: 601 | Зарегистр. 09-06-2008 | Отправлено: 10:25 13-05-2010 | Исправлено: cambit, 12:42 13-05-2010
    GawkV



    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    cambit
    а свою версию сказать религия не позволяет?

    Всего записей: 221 | Зарегистр. 09-06-2006 | Отправлено: 12:48 13-05-2010
    cambit

    Full Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Чего-то все молчат... Либо вопрос не решаем, либо я что-то не так сказал.
    Добавлю: микротик версии 2.9.27. Пользователей всего 4, каждый подключен к отдельной сетевой карте роутера (есесно распределены по подсетям : 192.168.0.0, 192.168.3.0 и т.д.). Адреса АДСЛ модемов 192.168.1.222 и 192.168.2.222. Надо сделать так, чтобы 2 пользователя ходило в инет через 192.168.1.222, а 2 других через 192.168.2.222.

    Всего записей: 601 | Зарегистр. 09-06-2008 | Отправлено: 12:50 13-05-2010
    GawkV



    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    попробуйте промаркировать маршруты
    и по источнику отправлять пакеты либо в 1 маршрут либо во второй
    и обновитесь до третьей версии..

    Всего записей: 221 | Зарегистр. 09-06-2006 | Отправлено: 12:56 13-05-2010
    cambit

    Full Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Пошел обновляться до 3-й версии, а то в этой маркировку пробовал - не помогает.

    Всего записей: 601 | Зарегистр. 09-06-2008 | Отправлено: 12:59 13-05-2010
    Chupaka



    Silver Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору

    Цитата:
    Если к примеру я хочу чтобы он имел доступ ко всей сети но не мог выйти в инет(доступ к интерфейсу Pulic)

    in-interface=Local1 out-interface=!Public action=accept
     

    Цитата:
    что если я хочу чтобы кроме своего сегмента сети он ничего не видел

    полностью заблокированный на маршрутизаторе, кроме своего сегмента он ничего не увидит
     

    Цитата:
    в этой маркировку пробовал - не помогает

    помогает, ещё как... но лучше всё же обновиться =)

    Всего записей: 3719 | Зарегистр. 05-05-2006 | Отправлено: 13:20 13-05-2010
    cambit

    Full Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    помогает, ещё как... но лучше всё же обновиться =)

    Тогда можно чуть по подробнее, а то пока особенно не разбираюсь (и командную строку не сильно понимаю, поэтому настраиваю через винбокс). Я думал так: в IP\Firewall\mangle для двух адресов пользователей ставлю Mark c каким либо набором символов (например adsl1). А в Routes при назначении шлюза 192.1681.222 тоже добавляю Mark adsl1? Не работает...
     
    Добавлено:
    Или чего-то не так?

    Всего записей: 601 | Зарегистр. 09-06-2008 | Отправлено: 13:45 13-05-2010
    Chupaka



    Silver Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    по описанию - всё так. но лучше всё же обновиться

    Всего записей: 3719 | Зарегистр. 05-05-2006 | Отправлено: 16:47 13-05-2010
    voki2009

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Прошу Вас подсказать есть ли возможность изменить дизайн http user manager где он лежит?

    Всего записей: 41 | Зарегистр. 02-04-2009 | Отправлено: 21:35 13-05-2010
    GawkV



    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    можно, но немного геморно, надо винт с микротиком подключить к линукс системе и там уже редактировать нужные файлы

    Всего записей: 221 | Зарегистр. 09-06-2006 | Отправлено: 09:25 14-05-2010
    Vedmich



    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Chupaka
    А такой еще вопрос: можно ли доработать скрипт так что бы он анализировал ранее уже созданные правила в файрволе(по IP адресу), и если нет там такого IP то тогда вносил бы дополнительное правило с этим же IP адресом.

    Всего записей: 131 | Зарегистр. 18-01-2010 | Отправлено: 13:11 14-05-2010
    Chupaka



    Silver Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    Vedmich
    хм, хороший вопрос... постараюсь на него ответить: да, конечно можно
     
    если подробнее - после получения адреса искать среди правил файрвола этот адрес. если результатов ноль - то добавить

    Всего записей: 3719 | Зарегистр. 05-05-2006 | Отправлено: 13:48 14-05-2010
    Vedmich



    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Я конечно понимаю - но вопрос как это сделать?

    Всего записей: 131 | Зарегистр. 18-01-2010 | Отправлено: 15:10 14-05-2010
    mindusa



    Junior Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    Вопрос по PPPoE серверу на базе Mikrotik 4.3.
    как сделать так чтобы PPPoE сервер принимал соединения ТОЛЬКО СО СВОИМ service name а на запросы клиентов с пустым service name не откликался?
    Спасибо

    Всего записей: 118 | Зарегистр. 26-02-2009 | Отправлено: 10:30 15-05-2010
    Chupaka



    Silver Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    Vedmich
    чё-то типа
    :local l [:len [/interface find comment~"test"]]
    :if ($l = 0) .....

    Всего записей: 3719 | Зарегистр. 05-05-2006 | Отправлено: 23:29 15-05-2010
    vlh

    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    имеется RB433AH с тремя картами R52H RO 4.9,
    по wan-1 приходит интернет на интерфейсы wan-2, wan-3, ether-1.
    нужен шейпер который делил бы всю доступную полосу wan-1 поровну
    между клиентами на интерфейсах wan-2, wan-3, ether-1...
    что делаю:
    метим пакеты на wan-1:

    Код:
    /ip firewall mangle
    add action=mark-packet chain=forward comment="" disabled=no dst-address=\
        192.168.0.0/24 in-bridge-port="wlan-1 rmz" new-packet-mark=mark-down \
        passthrough=no

    пакеты метятся, далее Queue Type:

    Код:
    add kind=pcq name=download pcq-classifier=dst-address pcq-limit=50 pcq-rate=0 \
        pcq-total-limit=2000

    и Queue Tree:

    Код:
    add burst-limit=0 burst-threshold=0 burst-time=0s disabled=yes limit-at=0 \
        max-limit=0 name=DOWN-ether1 packet-mark=mark-down parent=ether-1 \
        priority=8 queue=download
    add burst-limit=0 burst-threshold=0 burst-time=0s disabled=yes limit-at=0 \
        max-limit=0 name=DOWN-wan2 packet-mark=mark-down parent=wlan-2 priority=8 \
        queue=download
    add burst-limit=0 burst-threshold=0 burst-time=0s disabled=yes limit-at=0 \
        max-limit=0 name=DOWN-wan3 packet-mark=mark-down parent=wlan-3 priority=8 \
        queue=download
     

    под правила пакеты попадают, но мне кажется эта схема не правильная, а именно
    каждому интерфейсу выделяется максимальная полоса, а нужно что бы полоса wan-1 делилась поровну между клиентами которые находятся на интерфейсах wan-2, wan-3, ether-1.....

    Всего записей: 770 | Зарегистр. 21-11-2009 | Отправлено: 00:15 16-05-2010
       

    Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102

    Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » MikroTik RouterOS (часть 2)
    ShriEkeR (23-08-2010 21:26): MikroTik RouterOS (часть 3)


    Реклама на форуме Ru.Board.

    Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
    Modified by Ru.B0ard
    © Ru.B0ard 2000-2024

    BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

    Рейтинг.ru