Как запретить доступ к Микротику и ping извне?

Обсуждение ПО и его настройки
vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

А подумать? А то можно и проблем хапнуть от бездумного копи/пасте

Вот например filter add chain=input action=drop


Есть интересная задача и бюджет? http://mikrotik.site
Elevyr
Сообщения: 34
Зарегистрирован: 28 авг 2015, 05:54

vqd писал(а): filter add chain=input action=drop

Это ответ на мой вопрос в заголовке темы?


vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

не ну в принципе в какой то мере да. Пинги точно ходить до микротика перестанут


Есть интересная задача и бюджет? http://mikrotik.site
Elevyr
Сообщения: 34
Зарегистрирован: 28 авг 2015, 05:54

vqd писал(а):не ну в принципе в какой то мере да. Пинги точно ходить до микротика перестанут

Правило filter add chain=input action=drop добавил в терминал командами:
/ip firewall filter
filter add chain=input action=drop.
Пинги всё равно идут. Правда роутер я не перезагружал, не знаю надо, не надо.

Зато вот, что я нашёл:
Минимальный набор правил - сделать недоступным из вне внешний интерфейс роутера:
/ip firewall filter
add chain=input connection-state=invalid action=drop comment="drop invalid connections"
add chain=input connection-state=related action=accept comment="allow related connections"
add chain=input connection-state=established action=accept comment="allow established connections"
add chain=input action=drop comment="drop everything else" in-interface=ether1-gateway

Это отсюда http://bozza.ru/art-189.html


Elevyr
Сообщения: 34
Зарегистрирован: 28 авг 2015, 05:54

Интернет пропал...


Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

Elevyr писал(а):Интернет пропал...

Ну это результат копипаста. Фаервол требует понимания действий. Погодите до вечера, я домой попаду наконец и попробуем решить Ваши траблы. С телефона очень сложно писать, пальцы у меня не под это заточены...


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

Две страницы исписать, вместо того, чтобы почитать. :sh_ok:

Код: Выделить всё

chain=input action=drop protocol=icmp in-interface=pppoe-out1 log=no log-prefix="" 


где pppoe_out1 - имя вашего WAN интерфейса.


Какой толк от такой помощи, если вы все равно ничему не научились. И это при том, что фаерволл в микротике - мощнейший инструмент, азы которого нужно знать обязательно.


Elevyr
Сообщения: 34
Зарегистрирован: 28 авг 2015, 05:54

gmx писал(а):Две страницы исписать, вместо того, чтобы почитать. :sh_ok:

А почитать надо, как я понимаю, 600 страниц))


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

А почитать надо, как я понимаю, 600 страниц))



У Микротика тоже есть недостатки. :hi_hi_hi:

У вас получилось или нет???


Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

Так, я все-таки попал за нормальный комп, хоть и с задержкой. Как обещал, ограничение доступа к роутеру снаружи:

Код: Выделить всё

/ip service
set telnet address=192.168.0.0/24 disabled=yes
set ftp address=192.168.0.0/24 disabled=yes
set www address=192.168.0.0/24 disabled=yes
set ssh address=192.168.0.0/24
set www-ssl address=192.168.0.0/24 disabled=yes
set api address=192.168.0.0/24 disabled=yes
set winbox address=192.168.0.0/24
set api-ssl address=192.168.0.0/24 disabled=yes

При таком варианте к роутеру можно подключится только через Winbox или по ssh и только из внутренней сети 192.168.0.0/24
Дальше, для прикрытия возможности пинга нужно отключить ВСЕ правила в Firewall=>Filter и вбить одно единственное типа такого:

Код: Выделить всё

ip firewall filter add chain=input protocol=icmp in-interface=ВАШ_ИНТЕРФЕЙС_СМОТРЯЩИЙ_В_ИНТЕРНЕТ action=drop  

Обязательно указываем интерфейс, это как бы помогает определить, где рубить пакеты.
Жду результатов Ваших проб :-) Прошу прощения за временные разрывы между моими сообщениями, вторую неделю передвигаюсь более чем хаотично. А экран телефона у меня 4 дюйма, с моим плохим зрением особо не поотвечаешь.


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
Ответить