Как ограничить диапазоны адресов для входящих запросов?

Обсуждение оборудования и его настройки
Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

DES писал(а):>>> Первое правило разрешит прохождение пакета, если адрес источника включен в список ”Googs_address” . Второе дропает всё остальное.

Не похоже что второе будет дропать что-то... Нет ли ошибки ?

Простите, Вы абсолютно правы. Поправил там, продублировал здесь:

Код: Выделить всё

ip firewall filter add chain=forward action=drop


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
DES
Сообщения: 91
Зарегистрирован: 08 авг 2013, 21:12

не получилось.
я чуть выше описал что получилось.


RB750UP with Firmware:3.19 && RouterOS:6.23
Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

Видимо адрес RDP не внесен в список дозволенных источников. Принцип-то всегда один, сначала прописать, что можно, а потом остальное запретить. Последнее правило запретит все то, что Вы не прописали явно в разрешительных правилах.


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
DES
Сообщения: 91
Зарегистрирован: 08 авг 2013, 21:12

при добавлении нового правила №7, оно начинает считать пакеты и перестают считаться пакеты в правилах ниже него
но все работает, если поставить в конце дроп №28 - то все не работает

[admin@Silvicultura] /ip firewall filter> print
Flags: X - disabled, I - invalid, D - dynamic
0 X chain=forward action=log protocol=tcp dst-port=21 dst-limit=1/1m,5,dst-address/1m log-prefix="L1"
1 X chain=input action=log protocol=tcp dst-port=21 log-prefix="L2"
2 X chain=output action=log protocol=tcp dst-port=21 log-prefix="L3"
3 X ;;; drop ftp brute forcers
chain=input action=drop protocol=tcp src-address-list=ftp_blacklist dst-port=21
4 X chain=output action=accept protocol=tcp content=530 Login incorrect dst-limit=1/1m,3,dst-address/1m
5 X chain=output action=add-dst-to-address-list protocol=tcp address-list=ftp_blacklist address-list-timeout=3h content=530 Login incorrect
6 ;;; Accept WinBox
chain=input action=accept connection-state=new protocol=tcp dst-port=8291
-----------------> 7 X chain=forward action=accept src-address-list=IP_GOOD
8 chain=forward action=accept protocol=tcp dst-port=XXXX
9 chain=forward action=accept protocol=tcp dst-port=3389
10 chain=forward action=accept protocol=tcp dst-port=21
11 chain=forward action=accept protocol=tcp dst-port=XXXX
12 chain=forward action=accept protocol=tcp dst-port=XXXX
13 chain=forward action=accept protocol=tcp dst-port=XXXX
14 chain=forward action=accept protocol=tcp dst-port=XXXX
15 X ;;; IP-TV
chain=input action=accept protocol=udp dst-port=5000
16 X ;;; IP-TV
chain=input action=accept protocol=igmp
17 ;;; Accept L2TP protocol
chain=input action=accept connection-state=new protocol=udp port=1701
18 ;;; Accept ICMP
chain=input action=accept protocol=icmp
19 ;;; Accept established connections
chain=input action=accept connection-state=established
20 ;;; Accept related connections
chain=input action=accept connection-state=related
21 ;;; Accept UDP access for Local Network
chain=input action=accept protocol=udp src-address=192.168.100.0/24
22 X ;;; drop ssh brute forcers
chain=input action=drop protocol=tcp src-address-list=ssh_blacklist dst-port=22
23 X chain=input action=add-src-to-address-list connection-state=new protocol=tcp
src-address-list=ssh_stage3 address-list=ssh_blacklist address-list-timeout=1w3d
dst-port=22
24 X chain=input action=add-src-to-address-list connection-state=new protocol=tcp
src-address-list=ssh_stage2 address-list=ssh_stage3 address-list-timeout=1m dst-port=22
25 X chain=input action=add-src-to-address-list connection-state=new protocol=tcp
src-address-list=ssh_stage1 address-list=ssh_stage2 address-list-timeout=1m dst-port=22
26 X chain=input action=add-src-to-address-list connection-state=new protocol=tcp
address-list=ssh_stage1 address-list-timeout=1m dst-port=22
27 ;;; drop ssh brute downstream
chain=forward action=drop protocol=tcp src-address-list=ssh_blacklist dst-port=22
--------------> 28 X chain=forward action=drop
29 ;;; Drop Invalid connections
chain=input action=drop connection-state=invalid
30 ;;; Drop all Mikrotik input connection
chain=input action=drop

(как картинки вставить?)


RB750UP with Firmware:3.19 && RouterOS:6.23
Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

А адрес-лист Вы прописали? А то может Вы о нем и не думали...
Я не знаю, возможно я глубоко не прав, но по видимому правила в 8 по 14 и должны разрешать RDP. Но там есть разрешение на прохождение только на какой-то порт, а насчет порта источника я вообще не вижу правил. Давайте-ка спросим техподдержку.
Уважаемый vqd, прокомментируйте пожалуйста фильтры товарища. Мне они кажутся не слишком точными по смыслу. Но я часто ошибаюсь :smu:sche_nie:


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
DES
Сообщения: 91
Зарегистрирован: 08 авг 2013, 21:12

конечно прописал адрес-лист.
если включить правило - то оно считает пакеты. значит пропускает что-то.
но при этом перестает считать пакеты правило RDP


RB750UP with Firmware:3.19 && RouterOS:6.23
vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

А чего тут комментировать то? Вот это?
7 X chain=forward action=accept src-address-list=IP_GOOD
28 X chain=forward action=drop


Есть интересная задача и бюджет? http://mikrotik.site
DES
Сообщения: 91
Зарегистрирован: 08 авг 2013, 21:12

ну как раз про "вот это" и идет разговор. Не работает как предполагалось.


RB750UP with Firmware:3.19 && RouterOS:6.23
vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

Оно и не будет работать
И в принципе описанные вами симптомы вполне логичны.

Точнее нет, этот конфиг работает ровно так как должен работать. Я бы даже сказал что желаемый результат достигнут


Есть интересная задача и бюджет? http://mikrotik.site
DES
Сообщения: 91
Зарегистрирован: 08 авг 2013, 21:12

любой конфиг работает так как должен, это и так всем известно.
Вопрос обычно в другом, как сделать чтоб работал как нужно.


RB750UP with Firmware:3.19 && RouterOS:6.23
Закрыто