Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » MikroTik RouterOS (часть 4)

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

articlebot (11-03-2019 21:34): продолжение в MikroTik RouterOS (часть 5)  Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168 169 170 171 172 173 174 175 176 177 178 179 180 181 182 183 184 185 186 187 188 189 190 191 192 193 194 195 196 197 198 199 200

   

evgeniy7676



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
 
MikroTik RouterOS (часть 1), MikroTik RouterOS (часть 2), MikroTik RouterOS (часть 3), MikroTik RouterOS (часть 4)
Официальный сайт: http://www.mikrotik.com
 
Данная тема создана для обмена информацией по вопросам и проблемам настройки MikroTik RouterOS
Тема в варезнике
 
 
актуальные версии RouterOS:
Stable: 6.44 Long-term: 6.42.11

актуальная версия SwitchOS: 2.9
актуальная версия WinBox: 3.18

 
Mikrotik — Плюсы и минусы Подробнее...
Видео-экскурсия по заводу Mikrotik Ltd


FAQ по особенностям и тонкостям MikroTik RouterOS  Перейти



Официальная документация:
  • Англоязычный ОФИЦИАЛЬНЫЙ мануал
  • Алфавитный указатель
  • Официальные статьи пользователей RouterOS
  • для версии 3 http://www.mikrotik.com/testdocs/ros/3.0/
  • для версии 2.9 http://www.mikrotik.com/docs/ros/2.9/
  • RouterOS Packet Flow: http://wiki.mikrotik.com/wiki/Packet_Flow (важно знать для понимания сути происходящего в файрволе и шейпере)
  • Совместимое оборудование
  • Описание изменений в новых версиях RouterOS(+rc)
  • RouterBOOT changelog (изменения в boot-версиях загрузчика RouterOS)
  • Система управления пользователями встроенная в RouterOS (RADIUS server)
  • l7-protos.rsc (примеры L7-filter)


    Официальные ресурсы:
    Форум
    Демо-сайт с веб-интерфейсом системы №1        Подробнее...
    Демо-сайт с веб-интерфейсом системы №2        Подробнее...
    MikroTik User Meeting(Конференции пользователей Mikrotik)        Подробнее...
    "Хардварные решения"
    MikroTik News
    MikroTik related video service
    DESIGNS.MIKROTIK.COM - сервис для брендирования продукции Mikrotik.
    Twitter Mikrotik
    MikroTik Training (Хочешь на тренинг? Получить сертификат?)
    Предыдущие версии RouterOS Подробнее...    История релизов  Подробнее...
    Mikrotik Wireless Link Calculator


    Неофициальная русскоязычная документация    Перейти
    Обсуждение ROS(форумы)    Перейти
    Обзоры продуктов RouterBOARD    Перейти


    Русскоязычные блоги интернет-магазинов и блоггеров по настройке и тонкостям Mikrotik:  
     


     

     

     
       


     

     
         
     
     
         
     
     
         
     
     
     



    Смежные ресурсы    Перейти
     
    VPN + OSPF в картинках.
    MikroTik Config Parser
    mikrotik.vetriks.ru

    // текущий бэкап шапки..

  • Всего записей: 124 | Зарегистр. 19-03-2009 | Отправлено: 16:55 30-03-2016 | Исправлено: anton04, 15:34 28-02-2019
    Chupaka



    Silver Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    Deem_Basic

    Цитата:
    а как тогда видеть оборудование с первых пяти портов будучи подключенным например к шестому ?

    по IP-адресу. маршрутизация по умолчанию работает. если шлюзы у всех устройств правильно прописаны - вопросов возникнуть не должно
     
    Simply_Kot
    я бы даже сказал, не port=80,443, а dst-port=80,443
    если connection-state=new, то пакет инициирует подключение, и src-port=80 отнюдь не обозначает, что это http

    Всего записей: 3719 | Зарегистр. 05-05-2006 | Отправлено: 02:28 09-01-2017
    Kryukov Rostislav

    Junior Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    Simply_Kot
    Благодарю вас. Но метить соединения не получится - у меня до метки пакетов идет РСС балансировка на 3 провайдера. Получается мне надо будет метить пакеты в каждом из трех соединений.
    Вот мой код:
    /ip firewall mangle
    add action=mark-connection chain=prerouting connection-mark=no-mark in-interface=ISP1-MTS new-connection-mark=ISP1_conn passthrough=yes
    add action=mark-connection chain=prerouting connection-mark=no-mark in-interface=ISP2-Rostelecom new-connection-mark=ISP2_conn passthrough=yes
    add action=mark-connection chain=prerouting connection-mark=no-mark in-interface=ISP3-MTS new-connection-mark=ISP3_conn passthrough=yes
    add action=mark-connection chain=prerouting connection-mark=no-mark dst-address-type=!local in-interface=eth5-master new-connection-mark=ISP1_conn passthrough=yes per-connection-classifier=both-addresses:3/0
    add action=mark-connection chain=prerouting connection-mark=no-mark dst-address-type=!local in-interface=eth5-master new-connection-mark=ISP2_conn passthrough=yes per-connection-classifier=both-addresses:3/1
    add action=mark-connection chain=prerouting connection-mark=no-mark dst-address-type=!local in-interface=eth5-master new-connection-mark=ISP3_conn passthrough=yes per-connection-classifier=both-addresses:3/2

    Всего записей: 143 | Зарегистр. 30-12-2011 | Отправлено: 07:40 09-01-2017
    Simply_Kot

    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Chupaka
    не поверишь - с wiki скопировал.
    wiki.mikrotik.com/wiki/Manual:IP/Firewall/Mangle

    Всего записей: 229 | Зарегистр. 07-02-2007 | Отправлено: 10:09 09-01-2017
    Kryukov Rostislav

    Junior Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    Simply_Kot
    А мне что посоветуете с учетом РСС балансировки?

    Всего записей: 143 | Зарегистр. 30-12-2011 | Отправлено: 11:08 09-01-2017
    Simply_Kot

    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Kryukov Rostislav

    Цитата:
    А мне что посоветуете с учетом РСС балансировки?

    Отдельно балансируйте трафик http+https и отдельно балансируете прочий трафик.

    Всего записей: 229 | Зарегистр. 07-02-2007 | Отправлено: 14:24 09-01-2017
    Kryukov Rostislav

    Junior Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    Simply_Kot
    А то, что у меня балансировка на 3 провайдера и получается 3 коннекшн-марки и 3 пакет-марки? Вы же пишите выше, что если помечать соединение то в его пределах траффик будет возвращаться уже помеченным.

    Всего записей: 143 | Зарегистр. 30-12-2011 | Отправлено: 14:30 09-01-2017
    Chupaka



    Silver Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    Simply_Kot
    как меня когда-то учили, "не говори 'скопировал', пока не сделал Ctrl+C, Ctrl+V"
    в вики там port=!80. это значит, что под него попадают все соединения, кроме http и тех, которые инициируются с порта 80 там, к слову, так и написано: "all tcp packets except tcp/80" - нигде нет речи про http
     
    Kryukov Rostislav
    а я посоветую всё же просто поменять 'dst-port=' на 'port=' и не загоняться с маркировкой соединений. оно актуально при использовании всяких L7, а по портам и напрямую на отличной скорости маркирует. я особой разницы не заметил даже при использовании Address Lists на тысячи адресов

    Всего записей: 3719 | Зарегистр. 05-05-2006 | Отправлено: 14:45 09-01-2017
    Kryukov Rostislav

    Junior Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    Chupaka
    add action=mark-packet chain=prerouting new-packet-mark=http passthrough=yes port=80,110,143,25,443,8080 protocol=tcp
    т.е. одним правилом мы ловим и исходящие запросы на 80-е и обратно входящие?

    Всего записей: 143 | Зарегистр. 30-12-2011 | Отправлено: 15:05 09-01-2017 | Исправлено: Kryukov Rostislav, 15:12 09-01-2017
    Chupaka



    Silver Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    Kryukov Rostislav
    да, если хоть один из портов подходит под описание - ловим пакет

    Всего записей: 3719 | Зарегистр. 05-05-2006 | Отправлено: 15:29 09-01-2017
    Simply_Kot

    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Chupaka
    Kryukov Rostislav
     А может пометить требуемые пакеты в построутинге?

    Всего записей: 229 | Зарегистр. 07-02-2007 | Отправлено: 15:30 09-01-2017
    Chupaka



    Silver Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    Simply_Kot
    Kryukov Rostislav
    оу, не обратил внимания. конечно же в forward

    Всего записей: 3719 | Зарегистр. 05-05-2006 | Отправлено: 15:32 09-01-2017
    Kryukov Rostislav

    Junior Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору

    Цитата:
     да, если хоть один из портов подходит под описание - ловим пакет

    Очень странно. После такого правила очень увеличился траффик в статистике download. Если вернуть обратно 2 правила с dst и src port то увеличивается траффик http-exclude. Странно, почему так?  
    UPD: ввел ограничение на размер 0-500000 байт чтобы отсечь крупные файлы, скачиваемые по tcp.
     
    Добавлено:
    Chupaka
    Simply_Kot

    Цитата:
     оу, не обратил внимания. конечно же в forward  

    Так где надо ловить траффик? В forward? Просто я учился по презенташке Мегиса, а у него написано ловить в прероутинге...

    Всего записей: 143 | Зарегистр. 30-12-2011 | Отправлено: 15:49 09-01-2017 | Исправлено: Kryukov Rostislav, 15:57 09-01-2017
    Chupaka



    Silver Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    Kryukov Rostislav

    Цитата:
    После такого правила очень увеличился траффик в статистике download

    потому что раньше трафик туда не попадал, а теперь попадает
     

    Цитата:
    Если вернуть обратно 2 правила с dst и src port то увеличивается траффик http-exclude

    вы бы все правила приводили. а то я смотрю, вы любите passthrough=yes, а это значит, что трафик в дальнейших правилах может перемаркироваться и пойти совсем не туда, куда должен пойти после текущего правила
     

    Цитата:
    Просто я учился по презенташке Мегиса, а у него написано ловить в прероутинге

    срочно нужен контекст. в самоучителе для котов написано, что ловить надо в подвале. только там речь вообще про мышей
     
    я предпочитаю forward, как наиболее нейтральную цепочку. в ней уже выполнен dst-nat, известны выходящий-исходящий интерфейсы, всё красиво

    Всего записей: 3719 | Зарегистр. 05-05-2006 | Отправлено: 03:46 10-01-2017
    Kryukov Rostislav

    Junior Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    Chupaka

    Цитата:
    вы любите passthrough=yes

    Не совсем.

    Цитата:
    вы бы все правила приводили

    Согласен. Вот маркировка:
    /ip firewall mangle
    add action=mark-connection chain=prerouting connection-mark=no-mark in-interface=ISP1-MTS new-connection-mark=ISP1_conn passthrough=yes
    add action=mark-connection chain=prerouting connection-mark=no-mark in-interface=ISP2-Rostelecom new-connection-mark=ISP2_conn passthrough=yes
    add action=mark-connection chain=prerouting connection-mark=no-mark in-interface=ISP3-MTS new-connection-mark=ISP3_conn passthrough=yes
    add action=mark-connection chain=prerouting connection-mark=no-mark dst-address-type=!local in-interface=eth5-master new-connection-mark=ISP1_conn \
        passthrough=yes per-connection-classifier=both-addresses:3/0
    add action=mark-connection chain=prerouting connection-mark=no-mark dst-address-type=!local in-interface=eth5-master new-connection-mark=ISP2_conn \
        passthrough=yes per-connection-classifier=both-addresses:3/1
    add action=mark-connection chain=prerouting connection-mark=no-mark dst-address-type=!local in-interface=eth5-master new-connection-mark=ISP3_conn \
        passthrough=yes per-connection-classifier=both-addresses:3/2
    add action=mark-packet chain=output dst-address-type=!local dst-port=53 \
        new-packet-mark=http passthrough=no protocol=udp
    add action=mark-packet chain=forward connection-bytes=0-500000 new-packet-mark=http passthrough=no port=80,443,8080 protocol=tcp
    add action=mark-packet chain=forward new-packet-mark=http-exlcude packet-mark=no-mark dst-address-type=!local passthrough=no - этим правилом маркирую абсолютно все, что не маркировалось выше, но кроме локального траффика.
    add action=mark-routing chain=prerouting connection-mark=ISP1_conn in-interface=eth5-master new-routing-mark=to_ISP1 passthrough=yes
    add action=mark-routing chain=prerouting connection-mark=ISP2_conn in-interface=eth5-master new-routing-mark=to_ISP2 passthrough=yes
    add action=mark-routing chain=prerouting connection-mark=ISP3_conn in-interface=eth5-master new-routing-mark=to_ISP3 passthrough=yes
    add action=mark-routing chain=output connection-mark=ISP1_conn dst-address=!192.168.100.0/24 new-routing-mark=to_ISP1 passthrough=no
    add action=mark-routing chain=output connection-mark=ISP2_conn dst-address=!192.168.100.0/24 dst-address-type=!local new-routing-mark=to_ISP2 passthrough=no
    Очереди:
    /queue simple
    add limit-at=5M/5M max-limit=140M/140M name=OVERALL queue=pcq-upload-default/pcq-download-default target=eth5-master time=8h1s-23h59m59s,sun,mon,tue,wed,thu,fri,sat
    add burst-time=2s/2s limit-at=5M/5M max-limit=10M/10M name=http packet-marks=http parent=OVERALL priority=1/1 queue=pcq-upload-default/pcq-download-default target=eth5-master
    add max-limit=130M/130M name=other packet-marks=http-exlcude parent=OVERALL queue=pcq-upload-default/pcq-download-default target=eth5-master

    Всего записей: 143 | Зарегистр. 30-12-2011 | Отправлено: 09:08 10-01-2017 | Исправлено: Kryukov Rostislav, 09:14 10-01-2017
    dmi3n2



    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Добрый день, тиком занимался только на прикладном уровне, уже все забыл
    Появилась задача: на rb2011 все лан порты в одном bridge
    необходимо выделить диапазон ip адресов и запретить им доступ везде кроме одного айпишника в сети (шара) и белого списка сайтов (!)
     
    понимаю, задача нетривиальная, чувствую надо:
    отделять интерфейсы на которых висят клиенты из бриджа
    включать в bridge - settings - ip firewall внутренний фаервол
    добавлять в адрес лист айпи блокируемых клиентов
    делать белый список сайтов (не представляю как)
    добавлять фильтр типа add action=drop chain=forward src-address-list="block_this_ips"
     dst-address-list="!White_site"
     
    эту задумку реализовать возможно? может кто помочь?

    Всего записей: 305 | Зарегистр. 08-11-2015 | Отправлено: 10:26 10-01-2017 | Исправлено: dmi3n2, 10:30 10-01-2017
    Kryukov Rostislav

    Junior Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    dmi3n2
    add action=drop chain=forward src-address-list="block_this_ips"
     dst-address-list="!White_site"
    все верно мыслите. Адрес-лист там же в файрволе есть вкладка Address Lists - там и создаете.

    Всего записей: 143 | Зарегистр. 30-12-2011 | Отправлено: 11:21 10-01-2017
    leshiy_odessa



    Full Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    понимаю, задача нетривиальная

     
    Самая что ни на есть тривиальная.

    Всего записей: 546 | Зарегистр. 23-09-2001 | Отправлено: 13:37 10-01-2017
    DrDEVIL666

    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Kryukov Rostislav
     
    Посмотри вот на эту блок-схему, если её понять, то вопросы с маркировкой отпадут сами собой

    Всего записей: 273 | Зарегистр. 02-08-2010 | Отправлено: 13:40 10-01-2017
    Chupaka



    Silver Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    Kryukov Rostislav
    в целом вроде правильно, но, насколько понимаю, dst-address-type=local в forward никогда не попадёт, поэтому "dst-address-type=!local" можно убрать

    Всего записей: 3719 | Зарегистр. 05-05-2006 | Отправлено: 13:54 10-01-2017
    Kryukov Rostislav

    Junior Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    Chupaka
    Во всяком случае оно не лишнее даже если не отрабатывает. Спасибо, убираю.
    А с очередями есть советы или все правильно сделал?

    Всего записей: 143 | Зарегистр. 30-12-2011 | Отправлено: 14:01 10-01-2017 | Исправлено: Kryukov Rostislav, 14:02 10-01-2017
       

    Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168 169 170 171 172 173 174 175 176 177 178 179 180 181 182 183 184 185 186 187 188 189 190 191 192 193 194 195 196 197 198 199 200

    Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » MikroTik RouterOS (часть 4)
    articlebot (11-03-2019 21:34): продолжение в MikroTik RouterOS (часть 5)


    Реклама на форуме Ru.Board.

    Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
    Modified by Ru.B0ard
    © Ru.B0ard 2000-2024

    BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

    Рейтинг.ru