Правила файервола.

Обсуждение ОС и пр.
alex_bratsk
Сообщения: 38
Зарегистрирован: 27 авг 2012, 17:38

Правила файервола.

Сообщение alex_bratsk » 02 окт 2012, 14:36

Есть 2 сети: 192.168.1.0/24 и 192.168.0.0/24 По умолчанию пакеты ходят между сетями. Forward drop не помогает и вообще похоже они не идут через файервол. Если ставлю Forward accept, то значения счетчиков байтов и пакетов стоят в ноле и не меняются.
RouterBOARD 2011UAS-2HnD-IN
Version 6.24
Current Firmware 3.19
ftp://angara38.com/Public/Mikrotik
iSupport
Сообщения: 2439
Зарегистрирован: 06 фев 2011, 20:44

Re: Правила файервола.

Сообщение iSupport » 02 окт 2012, 22:13

если у вас сети /24 то друг в друга они обязанны ходить через роутер


я бы сделал chain input src-adress=192.168.0.0/24 dst-adress=192.168.1.0/24 action drop
Граждане, сколько раз просил =) чем понятнее и точнее сформулирован вопрос - тем понятнее и точнее будет на него ответ.
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь
alex_bratsk
Сообщения: 38
Зарегистрирован: 27 авг 2012, 17:38

Re: Правила файервола.

Сообщение alex_bratsk » 04 окт 2012, 10:06

Спасибо, помогло. А можно ли перейти на политику по умолчанию "Запрещено все, что не разрешено."?
В линуксовом файерволе это выглядит так:
iptables -F
iptables -t nat -F
iptables -t mangle -F
###
iptables -P OUTPUT DROP
iptables -P INPUT DROP
iptables -P FORWARD DROP
### Далее разрешающие правила
RouterBOARD 2011UAS-2HnD-IN
Version 6.24
Current Firmware 3.19
ftp://angara38.com/Public/Mikrotik
iSupport
Сообщения: 2439
Зарегистрирован: 06 фев 2011, 20:44

Re: Правила файервола.

Сообщение iSupport » 06 окт 2012, 08:51

можно, для настройки таких вещей советую подключаться через mac- адрес микротика
Граждане, сколько раз просил =) чем понятнее и точнее сформулирован вопрос - тем понятнее и точнее будет на него ответ.
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь
t332
Сообщения: 91
Зарегистрирован: 21 сен 2012, 00:32

Re: Правила файервола.

Сообщение t332 » 08 фев 2013, 14:02

iSupport - а почему chain input в данном случае?
iSupport
Сообщения: 2439
Зарегистрирован: 06 фев 2011, 20:44

Re: Правила файервола.

Сообщение iSupport » 09 фев 2013, 10:31

chain должна быть forward

и не надо НАТить трафик между локальными подсетями, то есть в правилах нат нужно добавлять

dst-adress-list= !LOCAL

а в листе LOCAL указать все свои внутренние 192.168.х.х
Граждане, сколько раз просил =) чем понятнее и точнее сформулирован вопрос - тем понятнее и точнее будет на него ответ.
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь
yamaec
Сообщения: 1
Зарегистрирован: 10 фев 2013, 22:30

Re: Правила файервола.

Сообщение yamaec » 10 фев 2013, 22:42

Ребят, у меня глупый вопрос, наверное:
Что означают буквы «А» и «U» во вкладке IP --> Firewall --> Connections первый столбец слева?
iSupport
Сообщения: 2439
Зарегистрирован: 06 фев 2011, 20:44

Re: Правила файервола.

Сообщение iSupport » 13 фев 2013, 09:13

наведите мышку и подержите на этой букве

появится табличка с расшифровкой
Граждане, сколько раз просил =) чем понятнее и точнее сформулирован вопрос - тем понятнее и точнее будет на него ответ.
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь

Вернуться в «MikroTik RouterOS»

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и 2 гостя