А подумать? А то можно и проблем хапнуть от бездумного копи/пасте
Вот например filter add chain=input action=drop
Как запретить доступ к Микротику и ping извне?
-
- Модератор
- Сообщения: 3605
- Зарегистрирован: 26 сен 2013, 14:20
- Откуда: НСК
- Контактная информация:
-
- Сообщения: 34
- Зарегистрирован: 28 авг 2015, 05:54
vqd писал(а): filter add chain=input action=drop
Это ответ на мой вопрос в заголовке темы?
-
- Модератор
- Сообщения: 3605
- Зарегистрирован: 26 сен 2013, 14:20
- Откуда: НСК
- Контактная информация:
не ну в принципе в какой то мере да. Пинги точно ходить до микротика перестанут
Есть интересная задача и бюджет? http://mikrotik.site
-
- Сообщения: 34
- Зарегистрирован: 28 авг 2015, 05:54
vqd писал(а):не ну в принципе в какой то мере да. Пинги точно ходить до микротика перестанут
Правило filter add chain=input action=drop добавил в терминал командами:
/ip firewall filter
filter add chain=input action=drop.
Пинги всё равно идут. Правда роутер я не перезагружал, не знаю надо, не надо.
Зато вот, что я нашёл:
Минимальный набор правил - сделать недоступным из вне внешний интерфейс роутера:
/ip firewall filter
add chain=input connection-state=invalid action=drop comment="drop invalid connections"
add chain=input connection-state=related action=accept comment="allow related connections"
add chain=input connection-state=established action=accept comment="allow established connections"
add chain=input action=drop comment="drop everything else" in-interface=ether1-gateway
Это отсюда http://bozza.ru/art-189.html
- podarok66
- Модератор
- Сообщения: 4360
- Зарегистрирован: 11 фев 2012, 18:49
- Откуда: МО
Elevyr писал(а):Интернет пропал...
Ну это результат копипаста. Фаервол требует понимания действий. Погодите до вечера, я домой попаду наконец и попробуем решить Ваши траблы. С телефона очень сложно писать, пальцы у меня не под это заточены...
Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
-
- Модератор
- Сообщения: 3313
- Зарегистрирован: 01 окт 2012, 14:48
Две страницы исписать, вместо того, чтобы почитать.
где pppoe_out1 - имя вашего WAN интерфейса.
Какой толк от такой помощи, если вы все равно ничему не научились. И это при том, что фаерволл в микротике - мощнейший инструмент, азы которого нужно знать обязательно.
Код: Выделить всё
chain=input action=drop protocol=icmp in-interface=pppoe-out1 log=no log-prefix=""
где pppoe_out1 - имя вашего WAN интерфейса.
Какой толк от такой помощи, если вы все равно ничему не научились. И это при том, что фаерволл в микротике - мощнейший инструмент, азы которого нужно знать обязательно.
-
- Сообщения: 34
- Зарегистрирован: 28 авг 2015, 05:54
gmx писал(а):Две страницы исписать, вместо того, чтобы почитать.
А почитать надо, как я понимаю, 600 страниц))
-
- Модератор
- Сообщения: 3313
- Зарегистрирован: 01 окт 2012, 14:48
А почитать надо, как я понимаю, 600 страниц))
У Микротика тоже есть недостатки.
У вас получилось или нет???
- podarok66
- Модератор
- Сообщения: 4360
- Зарегистрирован: 11 фев 2012, 18:49
- Откуда: МО
Так, я все-таки попал за нормальный комп, хоть и с задержкой. Как обещал, ограничение доступа к роутеру снаружи:
При таком варианте к роутеру можно подключится только через Winbox или по ssh и только из внутренней сети 192.168.0.0/24
Дальше, для прикрытия возможности пинга нужно отключить ВСЕ правила в Firewall=>Filter и вбить одно единственное типа такого:
Обязательно указываем интерфейс, это как бы помогает определить, где рубить пакеты.
Жду результатов Ваших проб Прошу прощения за временные разрывы между моими сообщениями, вторую неделю передвигаюсь более чем хаотично. А экран телефона у меня 4 дюйма, с моим плохим зрением особо не поотвечаешь.
Код: Выделить всё
/ip service
set telnet address=192.168.0.0/24 disabled=yes
set ftp address=192.168.0.0/24 disabled=yes
set www address=192.168.0.0/24 disabled=yes
set ssh address=192.168.0.0/24
set www-ssl address=192.168.0.0/24 disabled=yes
set api address=192.168.0.0/24 disabled=yes
set winbox address=192.168.0.0/24
set api-ssl address=192.168.0.0/24 disabled=yes
При таком варианте к роутеру можно подключится только через Winbox или по ssh и только из внутренней сети 192.168.0.0/24
Дальше, для прикрытия возможности пинга нужно отключить ВСЕ правила в Firewall=>Filter и вбить одно единственное типа такого:
Код: Выделить всё
ip firewall filter add chain=input protocol=icmp in-interface=ВАШ_ИНТЕРФЕЙС_СМОТРЯЩИЙ_В_ИНТЕРНЕТ action=drop
Обязательно указываем интерфейс, это как бы помогает определить, где рубить пакеты.
Жду результатов Ваших проб Прошу прощения за временные разрывы между моими сообщениями, вторую неделю передвигаюсь более чем хаотично. А экран телефона у меня 4 дюйма, с моим плохим зрением особо не поотвечаешь.
Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...