Смена IP адреса шлюза

kanal · 03 май 2017, 14:37

Оказывается все из за это!

add action=accept chain=forward src-address=192.168.1.0/24
add action=accept chain=input src-address=192.168.1.0/24
-----
поменял в файрволе на новые адреса и все заработало.

Всем спасибо за помощь!

DmNuts · 03 май 2017, 14:43

Вот-вот, всё верно.
А ещё уберите из /ip firewall filter правила

Код: Выделить всё

add action=accept chain=input protocol=udp
add action=accept chain=forward protocol=udp

и добавьте следующие:

Код: Выделить всё

/ip firewal raw
add action=drop chain=prerouting comment="Drop DNS udp" dst-port=53 protocol=udp in-interface=ADSL
add action=drop chain=prerouting comment="Drop DNS tcp" dst-port=53 protocol=tcp in-interface=ADSL
add action=drop chain=prerouting comment="Drop DNS udp" dst-port=53 protocol=udp in-interface=ETH
add action=drop chain=prerouting comment="Drop DNS tcp" dst-port=53 protocol=tcp in-interface=ETH

kanal · 03 май 2017, 15:08

А ещё уберите из /ip firewall filter правила

это через GUI убирать или эти команты, что написали, он убирает?

Вот сейчас такая картина:
http://images.vfl.ru/ii/1493811235/902e ... 088658.jpg

первые 2 записи мне посоветовали сделать, чтоб в случае ЧП смог подключится .

DmNuts · 03 май 2017, 16:17

kanal писал(а):это через GUI убирать или эти команты, что написали, он убирает?

Убирать проще через Winbox.
Вот сейчас такая картина:
http://images.vfl.ru/ii/1493811235/902e ... 088658.jpg
первые 2 записи мне посоветовали сделать, чтоб в случае ЧП смог подключится .[/quote]
Первые два правила не нужны при наличии №13, которое разрешает любой трафик на роутер из 192.168.0.0/24. На случай ЧП - MAC Winbox.

kanal · 03 май 2017, 16:25

Ну так теперь , по новому скрину что надо (какие номера) удалить и для чего?
http://images.vfl.ru/ii/1493811235/902e ... 088658.jpg

DmNuts · 03 май 2017, 16:46

Думаю, надёжнее будет написать текстом. Чтобы не напутать.

Код: Выделить всё

/ip firewall filter
add action=accept chain=input protocol=icmp
add action=accept chain=input connection-state=established,related
add action=accept chain=forward connection-state=established,related
add action=drop chain=input connection-state=invalid
add action=drop chain=forward connection-state=invalid
add action=accept chain=forward src-address=192.168.0.0/23
add action=accept chain=forward dst-address=192.168.0.0/23
add action=accept chain=input src-address=192.168.0.0/23
add action=drop chain=input
add action=drop chain=forward

Ваши правила можно удалить, вместо них вставить вышеперечисленные.

kanal · 04 май 2017, 08:24

Сделал как сказали. вот правила ДО:
http://images.vfl.ru/ii/1493875298/7b9d ... 097623.jpg

удалил все, на терминале выполнил код наверху. результат:
http://images.vfl.ru/ii/1493875369/e72b ... 097639.jpg

вроде все работает :)

А как быть с сервис портами?
http://images.vfl.ru/ii/1493875408/46e7 ... 097643.jpg
Какие стоит отключить или менять номер порта? я собираюсь пользоваться только через Winbox, доступ только по локалке.

DmNuts · 04 май 2017, 12:29

Firewall - Service Ports - это совсем другое, называется NAT Helpers. Их либо не трогают, либо отключают, если наблюдаются проблемы с протоколами, которые там перечислены.
Сервисы управления живут в IP - Services. Там отключите всё, кроме Winbox и, возможно, SSH.

Смена IP адреса шлюза

Вход • Регистрация