Оказывается все из за это!
add action=accept chain=forward src-address=192.168.1.0/24
add action=accept chain=input src-address=192.168.1.0/24
-----
поменял в файрволе на новые адреса и все заработало.
Всем спасибо за помощь!
Смена IP адреса шлюза
-
- Сообщения: 120
- Зарегистрирован: 18 май 2016, 18:33
- Откуда: Иркутск
Вот-вот, всё верно.
А ещё уберите из /ip firewall filter правила
и добавьте следующие:
А ещё уберите из /ip firewall filter правила
Код: Выделить всё
add action=accept chain=input protocol=udp
add action=accept chain=forward protocol=udp
и добавьте следующие:
Код: Выделить всё
/ip firewal raw
add action=drop chain=prerouting comment="Drop DNS udp" dst-port=53 protocol=udp in-interface=ADSL
add action=drop chain=prerouting comment="Drop DNS tcp" dst-port=53 protocol=tcp in-interface=ADSL
add action=drop chain=prerouting comment="Drop DNS udp" dst-port=53 protocol=udp in-interface=ETH
add action=drop chain=prerouting comment="Drop DNS tcp" dst-port=53 protocol=tcp in-interface=ETH
-
- Сообщения: 26
- Зарегистрирован: 03 май 2017, 11:48
А ещё уберите из /ip firewall filter правила
это через GUI убирать или эти команты, что написали, он убирает?
Вот сейчас такая картина:
http://images.vfl.ru/ii/1493811235/902e ... 088658.jpg
первые 2 записи мне посоветовали сделать, чтоб в случае ЧП смог подключится .
-
- Сообщения: 120
- Зарегистрирован: 18 май 2016, 18:33
- Откуда: Иркутск
kanal писал(а):это через GUI убирать или эти команты, что написали, он убирает?
Убирать проще через Winbox.
Вот сейчас такая картина:
http://images.vfl.ru/ii/1493811235/902e ... 088658.jpg
первые 2 записи мне посоветовали сделать, чтоб в случае ЧП смог подключится .[/quote]
Первые два правила не нужны при наличии №13, которое разрешает любой трафик на роутер из 192.168.0.0/24. На случай ЧП - MAC Winbox.
-
- Сообщения: 26
- Зарегистрирован: 03 май 2017, 11:48
Ну так теперь , по новому скрину что надо (какие номера) удалить и для чего?
http://images.vfl.ru/ii/1493811235/902e ... 088658.jpg
http://images.vfl.ru/ii/1493811235/902e ... 088658.jpg
-
- Сообщения: 120
- Зарегистрирован: 18 май 2016, 18:33
- Откуда: Иркутск
Думаю, надёжнее будет написать текстом. Чтобы не напутать.
Ваши правила можно удалить, вместо них вставить вышеперечисленные.
Код: Выделить всё
/ip firewall filter
add action=accept chain=input protocol=icmp
add action=accept chain=input connection-state=established,related
add action=accept chain=forward connection-state=established,related
add action=drop chain=input connection-state=invalid
add action=drop chain=forward connection-state=invalid
add action=accept chain=forward src-address=192.168.0.0/23
add action=accept chain=forward dst-address=192.168.0.0/23
add action=accept chain=input src-address=192.168.0.0/23
add action=drop chain=input
add action=drop chain=forward
Ваши правила можно удалить, вместо них вставить вышеперечисленные.
-
- Сообщения: 26
- Зарегистрирован: 03 май 2017, 11:48
Сделал как сказали. вот правила ДО:
http://images.vfl.ru/ii/1493875298/7b9d ... 097623.jpg
удалил все, на терминале выполнил код наверху. результат:
http://images.vfl.ru/ii/1493875369/e72b ... 097639.jpg
вроде все работает :)
А как быть с сервис портами?
http://images.vfl.ru/ii/1493875408/46e7 ... 097643.jpg
Какие стоит отключить или менять номер порта? я собираюсь пользоваться только через Winbox, доступ только по локалке.
http://images.vfl.ru/ii/1493875298/7b9d ... 097623.jpg
удалил все, на терминале выполнил код наверху. результат:
http://images.vfl.ru/ii/1493875369/e72b ... 097639.jpg
вроде все работает :)
А как быть с сервис портами?
http://images.vfl.ru/ii/1493875408/46e7 ... 097643.jpg
Какие стоит отключить или менять номер порта? я собираюсь пользоваться только через Winbox, доступ только по локалке.
-
- Сообщения: 120
- Зарегистрирован: 18 май 2016, 18:33
- Откуда: Иркутск
Firewall - Service Ports - это совсем другое, называется NAT Helpers. Их либо не трогают, либо отключают, если наблюдаются проблемы с протоколами, которые там перечислены.
Сервисы управления живут в IP - Services. Там отключите всё, кроме Winbox и, возможно, SSH.
Сервисы управления живут в IP - Services. Там отключите всё, кроме Winbox и, возможно, SSH.