Правила файервола.

Обсуждение ПО и его настройки
Ответить
alex_bratsk
Сообщения: 36
Зарегистрирован: 27 авг 2012, 17:38

Есть 2 сети: 192.168.1.0/24 и 192.168.0.0/24 По умолчанию пакеты ходят между сетями. Forward drop не помогает и вообще похоже они не идут через файервол. Если ставлю Forward accept, то значения счетчиков байтов и пакетов стоят в ноле и не меняются.


iSupport
Сообщения: 2359
Зарегистрирован: 06 фев 2011, 20:44

если у вас сети /24 то друг в друга они обязанны ходить через роутер


я бы сделал chain input src-adress=192.168.0.0/24 dst-adress=192.168.1.0/24 action drop


Граждане, сколько раз просил =) чем понятнее и точнее сформулирован вопрос - тем понятнее и точнее будет на него ответ.
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь
alex_bratsk
Сообщения: 36
Зарегистрирован: 27 авг 2012, 17:38

Спасибо, помогло. А можно ли перейти на политику по умолчанию "Запрещено все, что не разрешено."?
В линуксовом файерволе это выглядит так:
iptables -F
iptables -t nat -F
iptables -t mangle -F
###
iptables -P OUTPUT DROP
iptables -P INPUT DROP
iptables -P FORWARD DROP
### Далее разрешающие правила


iSupport
Сообщения: 2359
Зарегистрирован: 06 фев 2011, 20:44

можно, для настройки таких вещей советую подключаться через mac- адрес микротика


Граждане, сколько раз просил =) чем понятнее и точнее сформулирован вопрос - тем понятнее и точнее будет на него ответ.
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь
t332
Сообщения: 95
Зарегистрирован: 21 сен 2012, 00:32

iSupport - а почему chain input в данном случае?


iSupport
Сообщения: 2359
Зарегистрирован: 06 фев 2011, 20:44

chain должна быть forward

и не надо НАТить трафик между локальными подсетями, то есть в правилах нат нужно добавлять

dst-adress-list= !LOCAL

а в листе LOCAL указать все свои внутренние 192.168.х.х


Граждане, сколько раз просил =) чем понятнее и точнее сформулирован вопрос - тем понятнее и точнее будет на него ответ.
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь
yamaec
Сообщения: 1
Зарегистрирован: 10 фев 2013, 22:30

Ребят, у меня глупый вопрос, наверное:
Что означают буквы «А» и «U» во вкладке IP --> Firewall --> Connections первый столбец слева?


iSupport
Сообщения: 2359
Зарегистрирован: 06 фев 2011, 20:44

наведите мышку и подержите на этой букве

появится табличка с расшифровкой


Граждане, сколько раз просил =) чем понятнее и точнее сформулирован вопрос - тем понятнее и точнее будет на него ответ.
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь
Ответить