Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » MikroTik RouterOS (часть 4)

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

articlebot (11-03-2019 21:34): продолжение в MikroTik RouterOS (часть 5)  Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168 169 170 171 172 173 174 175 176 177 178 179 180 181 182 183 184 185 186 187 188 189 190 191 192 193 194 195 196 197 198 199 200

   

evgeniy7676



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
 
MikroTik RouterOS (часть 1), MikroTik RouterOS (часть 2), MikroTik RouterOS (часть 3), MikroTik RouterOS (часть 4)
Официальный сайт: http://www.mikrotik.com
 
Данная тема создана для обмена информацией по вопросам и проблемам настройки MikroTik RouterOS
Тема в варезнике
 
 
актуальные версии RouterOS:
Stable: 6.44 Long-term: 6.42.11

актуальная версия SwitchOS: 2.9
актуальная версия WinBox: 3.18

 
Mikrotik — Плюсы и минусы Подробнее...
Видео-экскурсия по заводу Mikrotik Ltd


FAQ по особенностям и тонкостям MikroTik RouterOS  Перейти



Официальная документация:
  • Англоязычный ОФИЦИАЛЬНЫЙ мануал
  • Алфавитный указатель
  • Официальные статьи пользователей RouterOS
  • для версии 3 http://www.mikrotik.com/testdocs/ros/3.0/
  • для версии 2.9 http://www.mikrotik.com/docs/ros/2.9/
  • RouterOS Packet Flow: http://wiki.mikrotik.com/wiki/Packet_Flow (важно знать для понимания сути происходящего в файрволе и шейпере)
  • Совместимое оборудование
  • Описание изменений в новых версиях RouterOS(+rc)
  • RouterBOOT changelog (изменения в boot-версиях загрузчика RouterOS)
  • Система управления пользователями встроенная в RouterOS (RADIUS server)
  • l7-protos.rsc (примеры L7-filter)


    Официальные ресурсы:
    Форум
    Демо-сайт с веб-интерфейсом системы №1        Подробнее...
    Демо-сайт с веб-интерфейсом системы №2        Подробнее...
    MikroTik User Meeting(Конференции пользователей Mikrotik)        Подробнее...
    "Хардварные решения"
    MikroTik News
    MikroTik related video service
    DESIGNS.MIKROTIK.COM - сервис для брендирования продукции Mikrotik.
    Twitter Mikrotik
    MikroTik Training (Хочешь на тренинг? Получить сертификат?)
    Предыдущие версии RouterOS Подробнее...    История релизов  Подробнее...
    Mikrotik Wireless Link Calculator


    Неофициальная русскоязычная документация    Перейти
    Обсуждение ROS(форумы)    Перейти
    Обзоры продуктов RouterBOARD    Перейти


    Русскоязычные блоги интернет-магазинов и блоггеров по настройке и тонкостям Mikrotik:  
     


     

     

     
       


     

     
         
     
     
         
     
     
         
     
     
     



    Смежные ресурсы    Перейти
     
    VPN + OSPF в картинках.
    MikroTik Config Parser
    mikrotik.vetriks.ru

    // текущий бэкап шапки..

  • Всего записей: 124 | Зарегистр. 19-03-2009 | Отправлено: 16:55 30-03-2016 | Исправлено: anton04, 15:34 28-02-2019
    HUB107



    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    ! - перед ip означает "НЕ", что читать как "НЕ 11.111.111.0/27 "
     
    Чёт вам провайдер навязывает что вышеперечисленным портам к вам тока из сетки 11.111.111.0/27 достучаться можно будет.
     
     
     


    ----------
    Ищу работу. Серьёзно. Предложения в личку.

    Всего записей: 336 | Зарегистр. 15-02-2005 | Отправлено: 11:12 04-11-2016
    vaniuhaha



    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    ! - перед ip означает "НЕ", что читать как "НЕ 11.111.111.0/27 "
     
    Чёт вам провайдер навязывает что вышеперечисленным портам к вам тока из сетки 11.111.111.0/27 достучаться можно будет.  

    Я тоже так подумал что они хотят иметь доступ к моему рутеру, без моего участия)
     
    Странно я вставлял изначально свою адресацию 22.222.222.0/24. И он все равно блокировал.
    Доступ к микротику через winbox и www.
     

    Всего записей: 239 | Зарегистр. 23-03-2011 | Отправлено: 13:31 04-11-2016
    leshiy_odessa



    Full Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    HUB107

    Цитата:
    ! - перед ip означает "НЕ", что читать как "НЕ 11.111.111.0/27 "  

     
    Боле понятнее — "КРОМЕ" — кроме 11.111.111.0/27
     
     
    /ip firewall filter add chain=input protocol=tcp dst-port=2222,8291,2323,2121,8080,8729 src-address=!11.111.111.0/27 action=drop  (ip естественно не настоящий).  
     
    Выше правило переводится так — не пропускать все tcp пакеты к портам 2222,8291,2323,2121,8080,8729 роутера, кроме IP — 11.111.111.0/27
     
    Честно говоря какая то чушь. Если задача ограничить доступ к микротику извне, то это должно быть как :
     

    Код:
    /ip firewall filter
    add action=accept chain=input comment="Access to Mikrotik only from our LAN" disabled=no in-interface=bridge
    add action=drop chain=input comment="Drop everything else" disabled=no
     

     
     
    8729/tcp     API-SSL
    8291/tcp     Winbox
     
    А что за другие порты?
     
    Кстати доступ по mac адресу в Winbox сохраняется
     
    Ссылки по теме :
    Как ходит трафик в Микротик?
     
    Настройка фильтрации трафика на Mikrotik. Часть 1
     
    Проброс портов в Микротике — ликбез для начинающих
     
     
     
    Добавлено:
    vaniuhaha

    Цитата:
    Я тоже так подумал что они хотят иметь доступ к моему рутеру, без моего участия)  

     
    Так вот вы и узнайте чего они хотят и для чего это правило. Да и логин (!!!)  и пароль от дефолтного нужно поменять.

    Всего записей: 546 | Зарегистр. 23-09-2001 | Отправлено: 13:47 04-11-2016 | Исправлено: leshiy_odessa, 13:50 04-11-2016
    alexnov66



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    vaniuhaha
    Возможно ошиблись при написании правила, вам посоветовали закрыть доступ к микротику с внешней стороны к сервисам микротика.
    Можно не прописывать ip адрес а указать внешний интерфейс который подключен к провайдеру.
    Восклицательный знак перед параметром означает всё кроме указанного параметра.

    Всего записей: 1166 | Зарегистр. 29-08-2005 | Отправлено: 15:14 04-11-2016 | Исправлено: alexnov66, 15:16 04-11-2016
    vaniuhaha



    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    Так вот вы и узнайте чего они хотят и для чего это правило. Да и логин (!!!)  и пароль от дефолтного нужно поменять.  

    1.Про пароль - все ок. Дефолтов не держу вовсе.  
    2.Пытался узнать с самого начало для чего им это надо. Толкового ответа мне супорт их так и не дал. (Кроме - Так надо и все). Я это воспринял как попытку захвата моего рутера, и закрытие мне доступа.
    3. То что вы написали про про закрыть доступ всем кроме, согласен. Я в принципе так и описал, только иными словами)
    4.Порты - 8080(www)
                 - 2323(Telnet)
                 - 8729 (Winbox-ssl) и т.д. это сервисные порты.  
     
    Но вот неурядиться я пытался свою созданую подсеть прописать, вместо прислонами ими ip, и доступ всеравно закрылся мне.  
     
    А кроме этого была еще такая строчка, но я не думаю что она имеет что-то к данной, потому что она по дефолту стоит на "no" да и не dns это.  
    /ip dns set allow-remote-requests=no

    Всего записей: 239 | Зарегистр. 23-03-2011 | Отправлено: 15:38 04-11-2016
    HUB107



    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    /ip dns set allow-remote-requests=no

     
    Ну просто закрыли днс-ку котика из внешки.  Ну а насчет правил.. да похоже пров просто перестраховывается от переборщиков паролей из чужих сетей (что верно, жопу им надрать тяжелее будет чем своим). Я бы в правиле поменял src-address на src-address-list с провайдерскими ip + свои по желанию.

    ----------
    Ищу работу. Серьёзно. Предложения в личку.

    Всего записей: 336 | Зарегистр. 15-02-2005 | Отправлено: 16:54 04-11-2016
    leshiy_odessa



    Full Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    vaniuhaha
    Видимо ваш провайдер пытается бороться с ботами в сети. ТО есть навалом роутеры с дырками, их взламывают и так далее.
     
    Плевать что хочет провайдер. Закройте роутер наглухо из WAN порта и скажите провайдеру чтоб успокоился.
     
     

    Цитата:
    /ip dns set allow-remote-requests=no

     
    А вот это спорно. Потому как инет в большинстве случае пропадает. Потому что нет DNS. То есть вместо полученных автоматом по DHCP от провайдера DNS мы отказываемся и нужно прописывать их вручную и так далее.
    Опять та же самая мифическая борьба против DDOS, когда вас могут использовать для атаки на других. Но опять же провайдер вообще нихрена не знает про микротики. Правится это банально и легко.  
     
    add action=drop chain=input comment="Drop DNS on port 53TCP" disabled=yes \
        dst-port=53 in-interface=wan protocol=tcp
    add action=drop chain=input comment="Drop DNS to port 53UDP" disabled=yes \
        dst-port=53 in-interface=wan protocol=udp
     
    Но выше я привел два правило и лучше так — все из локалки разрешено, всё остальное запрещено. По необходимости открывать то что нужно.
     
    А вообще лучше не морочить себе голову, а оставить "заводские" правила :
     

    Код:
    /ip firewall filter
    add chain=input comment="default configuration" connection-state=established,related
    add chain=forward comment="default configuration" connection-state=established,related
    add action=drop chain=input comment="default configuration" in-interface=WAN
    add action=drop chain=forward comment="default configuration" connection-state=invalid
    add action=drop chain=forward comment="default configuration" connection-nat-state=!dstnat connection-state=new in-interface=WAN

     
    Как видите есть правило дропать всё снаружи. Никто не прорвется, в том числе и провайдер.
     

    Всего записей: 546 | Зарегистр. 23-09-2001 | Отправлено: 17:25 04-11-2016
    Chupaka



    Silver Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    jfx

    Цитата:
    можно ли по DHCP разным клиентам кидать разные настройки DNS?  

    чтобы не возиться с options и HEX всякими, проще создать ещё одну Network, указать там адрес /32 (прописанный статикой клиенту), а маску выдать /24 (или какая во всей локалке) и нужные DNS'ы

    Всего записей: 3719 | Зарегистр. 05-05-2006 | Отправлено: 23:27 06-11-2016
    vaniuhaha



    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    add action=drop chain=input comment="Drop DNS on port 53TCP" disabled=yes \
        dst-port=53 in-interface=wan protocol=tcp
    add action=drop chain=input comment="Drop DNS to port 53UDP" disabled=yes \
        dst-port=53 in-interface=wan protocol=udp  

     
    Это правило у меня прописано с приобретения котика) И не только это)  
     

    Цитата:
    /ip firewall filter add chain=input protocol=tcp dst-port=2222,8291,2323,2121,8080,8729 src-address=!11.111.111.0/27 action=drop

     
    Меня интересует почему когда я вставляю свою сети то пропадает опять связь?)
     

    Цитата:
    Я бы в правиле поменял src-address на src-address-list с провайдерскими ip + свои по желанию.

    Можно пример правила пожалуйста?

    Всего записей: 239 | Зарегистр. 23-03-2011 | Отправлено: 10:05 07-11-2016
    alexnov66



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    vaniuhaha

    Цитата:
    Меня интересует почему когда я вставляю свою сети то пропадает опять связь?

     
    Какую внутреннюю или внешнию и с какой маской
    Что бы не годать следовало бы привести конфиг что и как у вас настроено, либо телепаты в отпуске.

    Всего записей: 1166 | Зарегистр. 29-08-2005 | Отправлено: 10:58 07-11-2016 | Исправлено: alexnov66, 11:00 07-11-2016
    DrDEVIL666

    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    Можно пример правила пожалуйста?

    т.е. сначала добавляешь провайдерские IP в список, а потмо этот список дропаешь

    Всего записей: 273 | Зарегистр. 02-08-2010 | Отправлено: 10:59 07-11-2016
    vaniuhaha



    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Спасибо понял, буду пробовать. По результатам отпишусь.

    Всего записей: 239 | Зарегистр. 23-03-2011 | Отправлено: 12:01 07-11-2016
    DrDEVIL666

    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    vaniuhaha
    Мосты провайдерские не дропни, а то без инетика останешься

    Всего записей: 273 | Зарегистр. 02-08-2010 | Отправлено: 17:05 07-11-2016 | Исправлено: DrDEVIL666, 17:06 07-11-2016
    karavan



    Advanced Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    Прошу откликнуться владельцев SXT LTE (желательно из регионов Краснодара, Ростова)
    Необходимо затестить тариф от Теле2 "Беспредельно черный".  
    В описании тарифа указано "только для телефонов, планшетов".
    Хочу выяснить на основании чего работает это ограничение и попытаться задействовать тариф на упомянутой железке.
    Расходы по подключению оплачу.
     
    P.S.: Планирую покупку железки для родственников, пытаюсь определиться с возможностями по тарифам.

    Всего записей: 1962 | Зарегистр. 02-12-2011 | Отправлено: 20:55 07-11-2016
    vertex4

    Moderator
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    karavan
    прочитай, как ограничивают и что делать.

    ----------
    В любой инструкции пропущено самое важное - что делать, если это устройство или программа не работают

    Всего записей: 10393 | Зарегистр. 29-01-2006 | Отправлено: 21:02 07-11-2016 | Исправлено: vertex4, 21:04 07-11-2016
    leshiy_odessa



    Full Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    karavan
     
    Ищите по слову "mikrotik" и сразу попадете на нужные инструкции.  
     
    http://4pda.ru/forum/index.php?s=&showtopic=596728&view=findpost&p=42503454
    http://4pda.ru/forum/index.php?s=&showtopic=596728&view=findpost&p=54150822
     
    Да и гугл выдает кучу ответов — https://www.google.com/search?q=Tele2+ttl+mikrotik

    Всего записей: 546 | Зарегистр. 23-09-2001 | Отправлено: 21:38 07-11-2016
    memo74

    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Здравствуйте, подскажите пожалуйста как на микротике настроить перенаправление на внешний статический адрес и порт.
    Например:
     
    локальный адрес 192.168.1.0/24
     
    удаленный адрес 75.12.32.144
     
    в зикселе на данный момент реализовано так:
       
     
    слушается несуществующая сеть и при обращении к ней весь трафик перенаправляется на статический адрес.

    Всего записей: 10 | Зарегистр. 31-10-2011 | Отправлено: 22:05 07-11-2016 | Исправлено: memo74, 22:06 07-11-2016
    karavan



    Advanced Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору

    Цитата:
    удаленный адрес 75.12.32.144  

    Если в описании ошибка и подразумевается не удаленный, а внешний адрес устройства (а предполагаемый сервер находится в локальной сети устройства), то решается следующим правилом:

    Код:
    /ip firewall nat
    add action=netmap chain=dstnat disabled=no dst-address=75.12.32.144 dst-port=3389 protocol=tcp to-addresses=192.168.2.1 to-ports=3389

    Где to-addresses=192.168.2.1 - указание на локальный адрес сервера.
     
     
    vertex4
    leshiy_odessa
    Спасибо.

    Всего записей: 1962 | Зарегистр. 02-12-2011 | Отправлено: 22:20 07-11-2016 | Исправлено: karavan, 22:20 07-11-2016
    leshiy_odessa



    Full Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    memo74
     
    Проброс портов в Микротике — ликбез для начинающих
     
    Но вообще не понят ваш сценарий использования. Вам что нужно из локальной сети перенаправлять наружу?

    Всего записей: 546 | Зарегистр. 23-09-2001 | Отправлено: 01:41 08-11-2016 | Исправлено: leshiy_odessa, 01:44 08-11-2016
    alexnov66



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    memo74
    Проброс портов описан в документации на сайте микротика.

    Всего записей: 1166 | Зарегистр. 29-08-2005 | Отправлено: 03:28 08-11-2016
       

    Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168 169 170 171 172 173 174 175 176 177 178 179 180 181 182 183 184 185 186 187 188 189 190 191 192 193 194 195 196 197 198 199 200

    Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » MikroTik RouterOS (часть 4)
    articlebot (11-03-2019 21:34): продолжение в MikroTik RouterOS (часть 5)


    Реклама на форуме Ru.Board.

    Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
    Modified by Ru.B0ard
    © Ru.B0ard 2000-2024

    BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

    Рейтинг.ru