evgeniy7676 Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору   MikroTik RouterOS (часть 1), MikroTik RouterOS (часть 2), MikroTik RouterOS (часть 3), MikroTik RouterOS (часть 4) Официальный сайт: http://www.mikrotik.com   Данная тема создана для обмена информацией по вопросам и проблемам настройки MikroTik RouterOS Тема в варезнике     актуальные версии RouterOS: Stable: 6.44 Long-term: 6.42.11 актуальная версия SwitchOS: 2.9 актуальная версия WinBox: 3.18   Mikrotik — Плюсы и минусы Подробнее... Видео-экскурсия по заводу Mikrotik Ltd FAQ по особенностям и тонкостям MikroTik RouterOS  Перейти Официальная документация: Англоязычный ОФИЦИАЛЬНЫЙ мануал Алфавитный указатель Официальные статьи пользователей RouterOS для версии 3.х http://www.mikrotik.com/testdocs/ros/3.0/ для версии 2.9.х http://www.mikrotik.com/docs/ros/2.9/ RouterOS Packet Flow: http://wiki.mikrotik.com/wiki/Packet_Flow (важно знать для понимания сути происходящего в файрволе и шейпере) Совместимое оборудование Описание изменений в новых версиях RouterOS(+rc) RouterBOOT changelog (изменения в boot-версиях загрузчика RouterOS) Система управления пользователями встроенная в RouterOS (RADIUS server) l7-protos.rsc (примеры L7-filter) Официальные ресурсы: Форум Демо-сайт с веб-интерфейсом системы №1        Подробнее... Демо-сайт с веб-интерфейсом системы №2        Подробнее... MikroTik User Meeting(Конференции пользователей Mikrotik)        Подробнее... "Хардварные решения" MikroTik News MikroTik related video service DESIGNS.MIKROTIK.COM - сервис для брендирования продукции Mikrotik. Twitter Mikrotik MikroTik Training (Хочешь на тренинг? Получить сертификат?) Предыдущие версии RouterOS Подробнее...    История релизов  Подробнее... Mikrotik Wireless Link Calculator Неофициальная русскоязычная документация    Перейти Обсуждение ROS(форумы)    Перейти Обзоры продуктов RouterBOARD    Перейти Русскоязычные блоги интернет-магазинов и блоггеров по настройке и тонкостям Mikrotik:     Mikrotik Ukraine   lanmart.ru   Блог podarok66   technotrade.com.ua     forum.mikrotik.by   slagovskiy.blogspot.com   sibirskiy.blogspot.com   mstream.com.ua     pvsm.ru   ...   axiom-pro.ru   arxont.blogspot.com   habrahabr.ru     ixnfo.com   wel.org.ua   aboutmikrotik.info   papa-admin.ru     netair.by   notme.org.ua   forummikrotik.ru   asp24.com.ua Смежные ресурсы    Перейти   VPN + OSPF в картинках. MikroTik Config Parser mikrotik.vetriks.ru // текущий бэкап шапки.. Всего записей: 124 | Зарегистр. 19-03-2009 | Отправлено: 16:55 30-03-2016 | Исправлено: anton04, 15:34 28-02-2019

ipmanyak Platinum Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору vcrank Берете рутер SOHO сегмента и хотите производительности, так не бывает! При наличии туннеля с шифрованием скорость будет ниже  раза в 2-3. Проц в 600Mhz слабоват для таких вещей. Кроме того, вам провайдер даёт серый IP или белый? Если серый, то через этот рутер вы получаете в итоге двойной NAT ( прова и рутера), что тоже снижает скорость. Для эксперимента можете перевести рутер в режим бриджа и посмотреть что будет. Ну и туннель временно отрубить. ---------- В сортире лучше быть юзером, чем админом... Всего записей: 12054 | Зарегистр. 10-12-2003 | Отправлено: 14:21 21-08-2018 | Исправлено: ipmanyak, 14:23 21-08-2018

alexnov66 Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору В официальном смысл тот же. hxxp://mikrotik.vetriks.ru/wiki/%D0%9F%D1%80%D0%BE%D1%87%D0%B5%D0%B5:Fasttrack Всего записей: 1460 | Зарегистр. 29-08-2005 | Отправлено: 14:32 21-08-2018

Chupaka Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору alexnov66 Цитата: В официальном смысл тот же Я вам вроде привёл два примера, что смысл противоположный xD   ipmanyak Цитата: получаете в итоге двойной NAT ( прова и рутера), что тоже снижает скорость (O_o)   Именно двойной снижает скорость? %) Всего записей: 3743 | Зарегистр. 05-05-2006 | Отправлено: 14:36 21-08-2018

alexnov66 Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору На сколько у меня bing правильно переводит то же самое. Важно то что в режиме fasttrack правила не работают.   vcrank Скорость может снижаться даже от количества правил в настройках на не слабых микротиках.   Всего записей: 1460 | Зарегистр. 29-08-2005 | Отправлено: 14:50 21-08-2018 | Исправлено: alexnov66, 14:59 21-08-2018

Chupaka Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору alexnov66 Цитата: На сколько у меня bing правильно переводит то же самое. Странно, какой-то у вас туповатый bing. Доступный мне bing почему-то переводит так же, как я и Google, а не так, как на том сайте написано   Это я к тому, что с таким качеством перевода неудивительно, что некоторые начитаются этого и творят беспредел, не понимая, почему что-то не работает Всего записей: 3743 | Зарегистр. 05-05-2006 | Отправлено: 15:45 21-08-2018 | Исправлено: Chupaka, 15:45 21-08-2018

alexnov66 Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Даже с этим туповатым переводом понятно что правила в режиме fasttrack не работают. Всего записей: 1460 | Зарегистр. 29-08-2005 | Отправлено: 17:18 21-08-2018

Chupaka Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору alexnov66 Я у себя отключал правило FastTrack - и всё равно у меня типом "ftp" метилось только управляющее FTP-соединение (на порт 21), а соединение с данными в пассивном режиме (на случайный порт) - не метилось. Как, впрочем, и со включенным FastTrack. Почему я и задал вопрос.   В активном проверить не смог, ибо быстро не нашёл сервер, поддерживающий его - чего-то все доступные публичные серверы ругаются и просят использовать пассивный. Всего записей: 3743 | Зарегистр. 05-05-2006 | Отправлено: 18:33 21-08-2018

Paromshick Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору В ip firewall filter организован жёсткий вариант доступа в глобальную сеть. Все что не разрешено явно, отбрасывается последним правилом   add action=drop chain=forward disabled=no out-interface=ether1 comment="Drop all"   При добавлении нового разрешающего правила, например, клиенту понадобился порт 8291 оно становится ниже запрещающего и, понятно, ничего не разрешает. Эникейщику не достаточно ввести полученную строчку, ему надо делать там пассы руками, типа move. Руки не всегда корректно настроены. Отсюда вопрос. Можно ли как-то в самой команде прописать, что она становится не последней, а первой? Лучше предпоследней. Если невозможно, то можно ли скриптом по schedule сдвигать определенное правило в самый конец? Может есть другие варианты? Общий запрос типа: Добавлять новые разрешающие правила цепочки forward в список правил на предпоследнюю позицию. ---------- Скучно Всего записей: 3019 | Зарегистр. 12-04-2013 | Отправлено: 07:34 22-08-2018

Chupaka Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Paromshick Цитата: Можно ли как-то в самой команде прописать, что она становится не последней, а первой? place-before=0   Цитата: Может есть другие варианты? Код: /ip firewall filter add chain=forward action=jump jump-target=forward-allow add action=drop chain=forward out-interface=ether1 comment="Drop all"   А дальше уже писать разрешающие правила не в forward, а в forward-allow. Справа вверху можно выбрать forward-allow - тогда другие правила даже глаза мозолить не будут Всего записей: 3743 | Зарегистр. 05-05-2006 | Отправлено: 11:05 22-08-2018 | Исправлено: Chupaka, 11:06 22-08-2018

Paromshick Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Chupaka Честно, не понимаю, что за правила jump, как они обрабатываются. Что не понимаешь, то сложно правильно использовать. Люди, которые пишут по девайсу конкретные примеры, чаще всего выдают теоретическую преамбулу, похожую на собственное изобретение, а не на стек протоколов. Про jump вообще как-то... Без понимания. Цитата: дальше уже писать разрешающие правила не в forward, а в forward-allow Например? Вот сейчас /ip firewall nat add chain=srcnat action=masquerade out-interface=ether1 src-address=10.0.101.0/24 comment="VLAN 101 Masquerading" /ip firewall filter add action=accept chain=forward src-address=10.0.100.0/24 disabled=no protocol=tcp dst-port=80 out-interface=ether1 comment="Allow HTTP Traffic from VLAN 101" add action=accept chain=forward src-address=10.0.100.0/24 disabled=no protocol=tcp dst-port=443 out-interface=ether1 comment="Allow HTTPS Traffic from VLAN 101" ... add action=drop chain=forward disabled=no out-interface=ether1 comment="Drop all"   Соответственно, добавляя новые правила сверху, разрешаются новые исходящие. Вроде бы, исключены здесь двойные толкования и всё понятно. А что даст jump? Как будет выглядеть изменённый код правил, что приведены? ---------- Скучно Всего записей: 3019 | Зарегистр. 12-04-2013 | Отправлено: 14:54 22-08-2018

alexnov66 Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Paromshick Цитата: Можно ли как-то в самой команде прописать, что она становится не последней, а первой? По коментарию запрещающего правила можно сделать что бы правила добавлялись до него. Код:   /ip firewall filter add chain=input dst-address=192.168.1.1 protocol=tcp dst-port=81 action=accept comment="TESTING PLACE BEFORE" place-before=[/ip firewall filter find comment=input_drop_all]       Всего записей: 1460 | Зарегистр. 29-08-2005 | Отправлено: 15:06 22-08-2018 | Исправлено: alexnov66, 15:13 22-08-2018

Paromshick Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Сделал, без понимания. Не работает, естественно. Код: /ip firewall filter add chain=forward action=jump jump-target=forward-allow add action=drop chain=forward out-interface=ether1 comment="Drop all" add action=accept chain=forward-allow src-address=10.0.101.0/24 disabled=no protocol=tcp dst-port=80 out-interface=ether1 comment="Allow HTTP Traffic VLAN 101" add action=accept chain=forward-allow src-address=10.0.101.0/24 disabled=no protocol=tcp dst-port=443 out-interface=ether1 comment="Allow HTTPS Traffic VLAN 101" Хотелось бы конечно с этим jump разобраться, но что-то не встретилось объяснений пока   Добавлено: alexnov66 Пожалуй, то что надо. Спасибо ---------- Скучно Всего записей: 3019 | Зарегистр. 12-04-2013 | Отправлено: 15:16 22-08-2018

Chupaka Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Paromshick Jump - это переход в другую цепочку (chain). Например, есть правила:   1. chain=forward условие1 action=действие1 2. chain=forward action=jump jump-target=forward-allow 3. chain=forward условие2 action=действие2 <...> 48. chain=forward-allow условие3 action=действие3 49. chain=forward-allow условие4 action=действие4   "forward-allow" может быть практически чем угодно. Можно назвать хоть "MegaChain".   Допустим, пакет прилетает в цепочку forward. Если правило 1 его "словит" по условию1 - будет выполнено действие1, и дальнейшая обработка пакета будет прекращена (здесь и далее предполагается, что у всех правил passthrough=no). Если пакет не был обработан правилом 1 - правило 2 передаёт обработку пакета в цепочку forward-allow. В forward-allow первым правилом будет 48. Оно проверит условие3, если оно выполнится - произведёт действие3 и прекратит дальнейшую обработку пакета. Если нет - идём к правилу 49. Если условие4 верно - то действие4 и обработку правил прекратили, если неверно - то (поскольку правил в forward-allow больше нет) возвращаемся в цепочку forward и бежим проверять правило 3.   То есть делаем jump в другую цепочку, если правила в ней "поймали" пакет - он там и останется, если не "поймали" - обработка вернётся обратно и продолжится со следующего правила в текущей цепочке.   Добавлено: Paromshick Цитата: Не работает, естественно. Должно работать. Правила пакеты считают? Про DNS не забыли? Всего записей: 3743 | Зарегистр. 05-05-2006 | Отправлено: 17:27 22-08-2018

Paromshick Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Chupaka Ну, вот - понятно. Спасибо. Как говорится, "вопросы есть?". Таки да, их есть у меня   Смотрите. Пакет "прыгнул" в цепочку forward-super (так назвать тоже можно, насколько я понял). Там пролетел по разрешающим правилам, 80, 110, 443 (порты), ничего не совпало. Насколько я понимаю - он пройдёт в инет. Ибо запрещающее правило осталось вверху. В цепочке forward-super  ничего запрещающего нет. Вопрос: нужно ли при моих вводных (ходят только разрешенные) в цепочку forward-super в самый низ тоже ставить запрещающее? Видимо, нужно. Если нет, то и второго вопроса - нет. А если да, то... Понимаете же, профессор? Получается, что там будет запрещающее внизу, и каждое разрешающее (новое) будет оказываться под ним. То есть - тот же 8921 не разрешать, хоть для этого и написано. Как и в ситуации раньше. Скажите мне, что я ошибся. Заключение умозрительное чисто.   И второй вопрос, чисто феншуйный. Можно ли вместо интерфейса WAN (ether1) указать шлюз провайдера или любую другую сущность? Ведь через него идёт не только трафик локалки, но и самого девайса. Тогда drop на нём, без указания источника, не даст девайсу сходить за временем на NTP. Или что ему еще может понадобиться. Подсетей много, если их жропить отдельно, наплодятся правила. Впрочем, можно bridg1 указать, как источник... Но всё же, чем можно заменить ether1, если хочется дропнуть направление "в интернет". Цитата: Правила пакеты считают? Про DNS не забыли? на пакеты я не посмотрел. ДНС ни при чём, он сторонний у клиента и рабочий у девайса, тот же самый сторонний (DC) и резолв работает. Попробую позже. Главное, я понял суть... рождающую вопросы   Добавлено: Первый вопрос тоже снимается. Когда заканчиваются правила дополнительной цепочки, возвращаемся назад. Русским по серому написано, пардон ---------- Скучно Всего записей: 3019 | Зарегистр. 12-04-2013 | Отправлено: 19:27 22-08-2018 | Исправлено: Paromshick, 19:30 22-08-2018

Chupaka Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Paromshick Цитата: Можно ли вместо интерфейса WAN (ether1) указать шлюз провайдера или любую другую сущность? Так локальный трафик у вас тоже идёт на шлюз провайдера ведь Так что либо оставить всё как есть, либо изгаляться с конструкциями вида "out-interface=ether1 dst-address=10.0.0.0/8 action=accept comment="разрешить локалку"; out-interface=ether1 action=сделать-что-то-с-трафиком-в-Интернет" Всего записей: 3743 | Зарегистр. 05-05-2006 | Отправлено: 16:36 23-08-2018

Chupaka Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору YDen1978 Повторение - мать заикания.   А ещё вы не поставили цели, но интересуетесь средствами их достижения. Это немного глупо. Всего записей: 3743 | Зарегистр. 05-05-2006 | Отправлено: 23:15 24-08-2018

Paromshick Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Chupaka В общем-то, хотелось на уровне логики, разделить трафик, а следовательно и правила, исходящий от локальных клиентов и направленный в интернет, и от самого девайса, туда же направленный. Как пример - запретить исходящий NTP для компов, но разрешить устройству. Конечно, одно правило, это не сложно - указать в запрещающем источник трафика. Локалку или локальный бридж. Но если правил много, то держать в уме, что они распространяются на саммдевайс…Это может привести к ненужному умножению сущностей. Системным решением показалось сделать так, что всё, за чем девайс может идти по своей надобности - в локалке. NTP ли, DNS ли... Автообновления сюда не укладываются. Он их не может получить в локалке. Есть для них какие-то особые правила? ---------- Скучно Всего записей: 3019 | Зарегистр. 12-04-2013 | Отправлено: 08:20 25-08-2018 | Исправлено: Paromshick, 08:20 25-08-2018

Chupaka Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Paromshick Цитата: хотелось на уровне логики, разделить трафик, а следовательно и правила, исходящий от локальных клиентов и направленный в интернет, и от самого девайса, туда же направленный Это давно сделано за вас. Первое попадает в цепочку forward, второе - в output. Всего записей: 3743 | Зарегистр. 05-05-2006 | Отправлено: 13:54 25-08-2018

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168 169 170 171 172 173 174 175 176 177 178 179 180 181 182 183 184 185 186 187 188 189 190 191 192 193 194 195 196 197 198 199 200

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » MikroTik RouterOS (часть 4)

articlebot (11-03-2019 21:34): продолжение в MikroTik RouterOS (часть 5)

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование