Вопрос по настройке firewall (обращение на почту)

Обсуждение ПО и его настройки
Ответить
Аватара пользователя
ezhe
Администратор
Сообщения: 33
Зарегистрирован: 25 ноя 2010, 12:11

Здравствуйте,
Населенный пункт у нас небольшой, приобрели на общественных началах спутниковую тарелку для доступа в сеть интернет населелению. В нашем поселке я единственный кто хоть мало-мальски понимает в сетях, сам поставил тарелку, поймал сигнал, комисионировал модем, построил вайфай сеть, подключаю абонентов. Столкнулись с такой проблемой, абонентов свыше 40, вайфай сеть в свободном доступе для всех желающих, в сети появилось завирусованное конечное оборудование и при выходе в интернет спутниковый канал полностью заполняется вирусными атаками и становится невозможно работать в интернете всем абонентам. Решили как то защитить канал от завирусованных клиентов и наш выбор пал на MikroTik RouterBoard 750, который мы уже приобрели.
Для понимания что мы хотим, объясню принцип подключения абонентов к интернету:
провайдер - спутниковый канал - спутниковый модем - вайфай сеть (4 точки через хаб) - пользователи с конечным оборудованием.
IP-адреса раздает спутниковый модем, а авторизация происходит через браузер по логину и паролю на сервере провайдера за спутниковым каналом у каждого индивидуально.
Необходимо настроить MikroTik RouterBoard 750 таким образом, чтобы в первый порт подключить кабель от модема, в остальные 4 порта подключить вайфай точки, при этом, чтобы не нарушилась структура сети, но вирусоносителей уже отбивал не встроенный файервол спутникового модема сажая весь канал, а именно файервол MikroTik RouterBoard 750 отобьет зараженное оборудование по IP-адресу и оставит канал чистым для работы незавирусованного оборудования. Вот в принципе наша задумка, которую очень просим помочь реализовать, помочь правильно настроить MikroTik RouterBoard 750. Инструкции прочитал, но мало что понял(((. Заранее спасибо за неоставленное без внимания обращение.


iSupport
Сообщения: 2359
Зарегистрирован: 06 фев 2011, 20:44

во- первых, вам необходимо настроить DHCP relay

то есть чтобы микротик *пробрасывал от себя DHCP запросы до модема*

затем, в сторону модема необходимо организовать роутинг,то есть маршрутизацию, перенаправление пакетов.

в цепочке input вы можете ловить все подключения и отбрасывать вирусоносителей по определенным правилам в акссесс листы.

я бы рекомендовал аксесс лист с таймаутом 5..60 секунд. Это и маршрутизатор не нагрузит и позволит *излечившимся* абонентам вернуться в сеть


Детальную настройку Вам, к сожалению, подсказать не возможно, я бырекомендовал подключить микротик *рядом* с точками и тестировать до общего внедрения на себе


Граждане, сколько раз просил =) чем понятнее и точнее сформулирован вопрос - тем понятнее и точнее будет на него ответ.
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь
papakol
Сообщения: 4
Зарегистрирован: 25 дек 2011, 00:03

настраиваю через Winbox
присвоил статичный адрес порту 1: 10......2
IP > routes > + >
Dst.address = 0.0.0.0/0
Gateway = 10......1

адрес модема: 10......1
настроил для первого порта DHCP Relay на адрес модема 10......1
IP > DHCP Relay > + >
Interface: ether 1
DHCP Server: 10.....1

теперь мне необходимо аналогично настроить остальные порты на 10.....2 через роутинг не присваивая статических адресов портам 2-5?
или наверное что-то не так... можно поподробнее? для новичка в данном оборудовании.


papakol
Сообщения: 4
Зарегистрирован: 25 дек 2011, 00:03

настроил по инструкции, выложенной на http://www.youtube.com/watch?v=o1p40sUWczE, за исключением раздачи айпи адресов локальным интерфейсам, как сделать переброс пакетов с локальных портов на ван, чтобы и айпи уже раздавал модем и интернет появился? DHCP поставил Relay на первом порту с указанием адреса модема.


iSupport
Сообщения: 2359
Зарегистрирован: 06 фев 2011, 20:44

во-первых, в ip - routes надо добавить 2 маршрута

10...1 - еth1

10... 2 .. 254 (то что по DHCP ) - в сторону абонентов (eth2)

потом утилитой torch по интерфейсам смотреть что и куда летит

DHCP - это UPD пакеты по протам 67 и 68
протокол в микротике вроде бы bootpc


Граждане, сколько раз просил =) чем понятнее и точнее сформулирован вопрос - тем понятнее и точнее будет на него ответ.
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь
papakol
Сообщения: 4
Зарегистрирован: 25 дек 2011, 00:03

по порядку.
включил
IP > Routes > + >
получилось такое
AS; Dst Adress: 10...1; Gateway: ether 1 reachable; Distance: 1
AS; Dst Adress: 10...2; Gateway: ether 2 reachable; Distance: 1
после присвоения адреса 10..2 порту 1 (IP > Adresses > + >) появилась такая строка там же в Routes
DAC; Dst Adress: 10...0/24; Gateway: ether 1 reachable; Distance: 0; Pref.Source: 10...2
DHCP Relay включил два раза:
IP > DHCP Relay > + >
interface: ether 1; DHCP server: 10...1
interface: ether 2; DHCP server: 10...2
локальные порты 3-5 настроены на порт2 мастер: порт2
ни на одном порту IP не раздает
удалил статику на первом порту
включил torch, все присвоенные модемом адреса (микротик запараллелен с рабочей сеткой) стали обращаться на первый порт микротика с потерей интернета. обратно присвоил порту1 статику 10...2
IP не раздает.
можно более подробно от начала и до конца, первый порт WAN, 2-5 LAN, 3-5 смотрят на порт2 как на мастера. Вроде все свои действия понимаю логически, но не получается.
когда удалял статику порта1, мануал перекидывал на страницу авторизации, когда вернул статику, вики.микротик открывается, как будто в обратную сторону работает, и не раздает айпи. мой ноут в интернете по вайфай, микротик подключен к локальному интерфейсу кабелем.
да, точно, отключил вайфай и микротик потерял интернет.


iSupport
Сообщения: 2359
Зарегистрирован: 06 фев 2011, 20:44



Граждане, сколько раз просил =) чем понятнее и точнее сформулирован вопрос - тем понятнее и точнее будет на него ответ.
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь
papakol
Сообщения: 4
Зарегистрирован: 25 дек 2011, 00:03

глупый вопрос, но для меня актуальный...
как мне перейти в терминале с [admin@mikrotik] к примеру на [admin@DHCP-Relay]. Спасибо!


iSupport
Сообщения: 2359
Зарегистрирован: 06 фев 2011, 20:44

как ни странно, Вы не одиноки, сам думал в свое время

имя хоста живет в /system identity

тут уже либо через винбокс, либо через консоль, как вам удобнее ;)


Граждане, сколько раз просил =) чем понятнее и точнее сформулирован вопрос - тем понятнее и точнее будет на него ответ.
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь
Ответить