MikroTik RouterOS (часть 3) - [125] :: В помощь системному администратору

sumyst, вот последовательность шагов, как бы я делал сеть с твоей схемы:
1. Настроил бы ИП адрес и шлюз в Интренет (условно отмечаю что адрес в Интернет X.X.X.X/30 и есть два ип — твой и шлюз провайдера — х.х.х.х-1)

2. Поднял бы срц-нат для исходящего интерфейса (10-го) для ип с адресным диапазоном 172.24.2.0/30 (т.е в этом сегменте есть действительные адреса 172.24.2.1 и 172.24.2.2) — для того, чтобы никто, окромя прокси и 1200 железки, не выходил в интернет через этот нат.

3. Проверил бы с компа с прокси доступ в интренет:
наш трасроуте на 8.8.8.8

4. Настроил бы простые роутигни для всех сетей: типа для 10.100.103.0/24 искать через 192.168.168.2 (вообще правильно бы использовать что-то более верное для такого случая… ОСПФ к примеру)

5. Для остальных используемых интерфейсов разрешил бы верную маршрутизацию (у меня в базовых парвилах всё лишнее дропается). Естественно надо проверить, чтобы пакеты ихз одной сети в другую ходили так как надо.
______
На этом этапе все кто у себя в ИЕ/Опере (или что там у них) поставят в настройках проксисерверов адрес твоего прокси (172.24.2.2) смогут ходить в инет и без заковыристой маршрутизации на твоей железке.
______

6. Настроил бы маршрутизацию пока только для входящего ин-са ВПН-1:
/ip firewall mangle
chain=prerouting action=mark-routing new-routing-mark=LAN-2-Web passthrough=no src-address-list=LAN dst-address-list=!gray-adress in-interface=VPN-1

(адресные листы LAN — списки локалок, gray-adress — «серые» адреса не маршрутизируемые в интернет — это все допустимые локалки и адреса широковещательной рассылки)

7. Добавил бы маршрут с моей пометкой:
/ip route
add check-gateway=ping comment="" disabled=no distance=50 dst-address=\
0.0.0.0/0 gateway=172.24.2.2 routing-mark=LAN-2-Web scope=30 \
target-scope=10

8. Проверил бы выход в интернет из сети 10.100.103.0/24 (твоя ВПН-1)
наш трасроуте на 8.8.8.8

9. Копированием создал бы под все остальные нужные интерфейсы правила пометки маршрутов из п.6.
(Может так и не столь красиво, но лучше видно)

10. Проверил бы работу правил из остальных сетей.

Добавлено:
rosalin, с 0:9 до 0:9:25 (т.е. на 25 секунд в 9 минут первого) во все дни недели доступ к 80 порту микротика (т.е. http://адрес_микротика):

/ip firewall filter>
chain=input action=accept protocol=tcp dst-port=80 time=9m-9m25s,sun,mon,tue,wed,thu,fri,sat

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR
ShriEkeR (05-01-2012 00:59):	Версия для печати • Подписаться • Добавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147