При добавлении forward drop, перестает работать интернет.

[voler]

Вот такие правила сейчас:

Код: Выделить всё

 0   chain=input action=accept protocol=tcp dst-port=80,443,8291,2010
 1   chain=input action=accept protocol=icmp
 2   chain=input action=accept protocol=udp port=53
 3   chain=input action=drop
 4   chain=output action=accept
 6   ;;; 55
     chain=forward action=accept src-address=192.168.6.11 dst-address=0.0.0.0/0 src-mac-address=00:19:5B:86:3B:B7
 7   ;;; 128
     chain=forward action=accept src-address=192.168.6.16 dst-address=0.0.0.0/0 src-mac-address=B8:72:F5:BE:6A:50
 8   ;;; 231
     chain=forward action=accept src-address=192.168.6.3 dst-address=0.0.0.0/0 src-mac-address=BC:AE:C5:94:FA:EC
 9   ;;; 242
     chain=forward action=accept src-address=192.168.6.12 dst-address=0.0.0.0/0 src-mac-address=F0:7D:68:91:57:4D

Если я добавляю вот, такое правило
chain=forward action=drop
Самым последним, то перестает работать интернет у всех. Хотя есть выше стоящие правила разрешающие. Подскажите что делаю не так, может нужно более подробно описать правила?

[carassin]

вот это должно помочь

chain=forward action=accept connection-state=established
chain=forward action=accept connection-state=related

они должны стоят до drop

[voler]

вот это должно помочь
chain=forward action=accept connection-state=established
chain=forward action=accept connection-state=related
они должны стоят до drop

При добавлении этих правил, в первую из выше приведенных поподает слишком большое кол-во пакетов. А моих правилах, кол-во пакетов уменьшается.

В Линуксе можно на цепочку FORWARD ставить политику по умолчанию DROP
А как сделать аналогичное правило в микротике?

[vqd]

А почему инет то не должен пропасть? Вы начинаете резать все ответы на запросы из внутренней сети.
Юзверь набрал vk.com , запрос на контактик ушел, контактик ответил а микротик не пустил.

[voler]

Ну в принципе проверить, можно просто привык писать DROP, а потом явно разрешающие правила.

[vqd]

Так нет же
Сначала заводим разрешения, остаток дропаем.
По принципу запретить все что не разрешено.
А ежели в начало дроп воткнуть то на нем обработка и остановится.
Два правила
Input - drop
Forward - drop

И все, ни кто не подберется, даже админ. (к слову сказать это моё посвещение в микротик было, хорошо что на платформе сериал был, 2 часа убил что бы собрать нульмодемный кабель и найти пк с ком портом)

[podarok66]

Принцип фаервола на микротике один - всё, что не запрещено, разрешено. То есть изначально разрешено всё. Правила выполняются по порядку от верхнего (0 по номеру) к нижнему (последний номер в списке правил). То есть, если Вы последним правилом запретили, то перед этим правилом должно стоять то, которое разрешает чему-то проходить. Например:

Код: Выделить всё

/ip firewall filter add chain=forward dst-address-list=”Pervyi_spisok” action=accept 
/ip firewall filter add chain=forward src-address=”Pervyi_spisok” action=accept
/ip firewall filter add chain=forward action=drop

Первые два правила разрешают хождение всего трафика для адрес-листа ”Pervyi_spisok”, последнее запрещает весь трафик для остальных.

[duronus]

carassin писал(а):
вот это должно помочь
chain=forward action=accept connection-state=established
chain=forward action=accept connection-state=related
они должны стоят до drop

Кстати говоря у меня тоже самое, на дефолтных настройках все работает, но стоит руками удалить последнее дроп и создать его опять, как половина трафика отваливается ( это заметно на некоторых сайтах)

[vqd]

Вы с какой целью поднимаете давно забытые темы?

[duronus]

тоесть? с какой целью? по вашему я должен был создать новую тему?

Я оставил свой комментарий в данной теме потому что счел его уместным (вдруг люди которые эту тему обсуждали нашли какие нибудь грабли).

p.s.: А разве правила запрещают поднимать старые темы?