Проблема с настройкой Микротик CCR1009-7G

Обсуждение ПО и его настройки
Ответить
orlov_ap
Сообщения: 3
Зарегистрирован: 28 сен 2017, 12:03

Добрый день.

Имеется роутер Микротик CCR1009-7G.
Недавно начал осваиваться с Микротиками, и пока опыта мало.
Никак не получается настроить его, чтобы все что нужно работало, кроме торрентов.
А так же пытаюсь понять, что корректнее нужно сделать (какие настройки), чтобы усилить защиту сети.

Приложил файл настроек в архиве.

Помогите пожалуйста с моими вопросами.


orlov_ap
Сообщения: 3
Зарегистрирован: 28 сен 2017, 12:03

Не могу добавить вложение, пишет достигнут максимальный размер, а там всего 7кб.


Выложил так настройки

Код: Выделить всё

# sep/28/2017 12:20:48 by RouterOS 6.40.3
# software id = MB45-MCW4
#
# model = CCR1009-7G-1C-1S+
# serial number = 6D5103437C8B2
/interface bridge
add fast-forward=no name="bridge moskva"
add fast-forward=no name="bridge set1"
add fast-forward=no name="bridge1 kameri"
/interface ethernet
set [ find default-name=ether1 ] advertise=\
    10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full comment=152 \
    loop-protect=on rx-flow-control=on tx-flow-control=on
set [ find default-name=ether2 ] advertise=\
    10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full comment=\
    "201  \EA\E0\EC\E5\F0\FB" loop-protect=on rx-flow-control=on \
    tx-flow-control=on
set [ find default-name=ether3 ] advertise=\
    10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full comment=\
    "\F0\E5\E3\E8\F1\F2\F0\E0\F2\EE\F0\FB" loop-protect=on rx-flow-control=on \
    tx-flow-control=on
set [ find default-name=ether4 ] advertise=\
    10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full comment=\
    "\F1\E5\F2\FC 1  203" loop-protect=on rx-flow-control=on tx-flow-control=\
    on
set [ find default-name=ether5 ] advertise=\
    10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full comment=\
    "\F1\E5\F2\FC 1  201/202" loop-protect=on rx-flow-control=on \
    tx-flow-control=on
set [ find default-name=ether6 ] advertise=\
    10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full loop-protect=\
    on rx-flow-control=on tx-flow-control=on
set [ find default-name=ether7 ] advertise=\
    10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full loop-protect=\
    on rx-flow-control=on tx-flow-control=on
set [ find default-name=sfp-sfpplus1 ] advertise=\
    10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full loop-protect=\
    on rx-flow-control=on tx-flow-control=on
/interface pptp-server
add comment=\
    "\D2\F3\ED\E5\EB\FC \EC\E5\E6\E4\F3 TUL  \E8 MSK \F1\E5\F0\E2\E5\F0" \
    name=TUL_NET user=TUL_office
/interface eoip
add !keepalive local-address=192.168.250.1 loop-protect-disable-time=0s \
    loop-protect-send-interval=0s mac-address=02:CA:23:EF:3F:05 name=\
    eoip-tunnel1 remote-address=192.168.250.2 tunnel-id=1
/ip neighbor discovery
set ether1 discover=no
/interface vlan
add comment="\E1\F3\F5\E3\E0\EB\F2\E5\F0\E8\FF 2\EA" interface=ether5 name=\
    vlan3 use-service-tag=yes vlan-id=3
add comment="\F1\EA\EB\E0\E4 4\EA" disabled=yes interface=ether5 name=vlan5 \
    use-service-tag=yes vlan-id=5
/ip dhcp-server option
add code=66 name=VoIP_logika1 value="'http://195.245.76.30:9080/yealink/'"
/ip firewall layer7-protocol
add name=torrentsites regexp="^.*(get|GET).+(torrent|thepiratebay|isohunt|ente\
    rtane|demonoid|btjunkie|mininova|flixflux|torrentz|vertor|h33t|btscene|bit\
    unity|bittoxic|thunderbytes|entertane|zoozle|vcdq|bitnova|bitsoup|meganova\
    |fulldls|btbot|flixflux|seedpeer|fenopy|gpirate|commonbits).*\$"
/ip pool
add name=88 ranges=192.168.88.60-192.168.88.65
add name=1 ranges=192.168.1.100-192.168.1.209
/ip dhcp-server
add address-pool=88 authoritative=after-2sec-delay disabled=no interface=\
    "bridge1 kameri" lease-time=52w6d8h10m name=88
add address-pool=1 authoritative=after-2sec-delay disabled=no interface=\
    "bridge set1" lease-time=1m name=1
/queue simple
add limit-at=512k/512k max-limit=3M/3M name=kpp target=192.168.88.51/32
/queue type
set 0 pfifo-limit=10000
set 1 pfifo-limit=5000
add kind=pcq name=PCQ_10_M_down pcq-classifier=dst-address \
    pcq-dst-address6-mask=64 pcq-rate=10M pcq-src-address6-mask=64 \
    pcq-total-limit=64000KiB
add kind=pcq name=PCQ_10_M_up pcq-classifier=src-address \
    pcq-dst-address6-mask=64 pcq-rate=10M pcq-src-address6-mask=64 \
    pcq-total-limit=64000KiB
add kind=pcq name=PCQ_5_M_up pcq-classifier=src-address \
    pcq-dst-address6-mask=64 pcq-rate=5M pcq-src-address6-mask=64 \
    pcq-total-limit=64000KiB
add kind=pcq name=PCQ_5_M_down pcq-classifier=dst-address \
    pcq-dst-address6-mask=64 pcq-rate=5M pcq-src-address6-mask=64 \
    pcq-total-limit=64000KiB
add kind=pcq name=PCQ_8_M_down pcq-classifier=dst-address \
    pcq-dst-address6-mask=64 pcq-rate=8M pcq-src-address6-mask=64 \
    pcq-total-limit=64000KiB
add kind=pcq name=PCQ_8_M_up pcq-classifier=src-address \
    pcq-dst-address6-mask=64 pcq-rate=8M pcq-src-address6-mask=64 \
    pcq-total-limit=64000KiB
set 14 mq-pfifo-limit=10000
set 15 kind=sfq
/queue interface
set combo1 queue=multi-queue-ethernet-default
/queue tree
add name=Total_download parent=global queue=default
add name=Total_upload parent=global queue=default
add name=10_M_down_low_priority packet-mark=mark_10_down_low parent=\
    Total_download queue=PCQ_10_M_down
add name=5_M_down_low_priority packet-mark=mark_5_down_low parent=\
    Total_download queue=PCQ_5_M_down
add name=10_M_up_low_priority packet-mark=mark_10_up_low parent=Total_upload \
    queue=PCQ_10_M_up
add name=5_M_up_low_priority packet-mark=mark_5_up_low parent=Total_upload \
    queue=PCQ_5_M_up
add name=10_M_down_high_priority packet-mark=mark_10_down_high parent=\
    Total_download priority=2 queue=PCQ_10_M_down
add name=10_M_up_high_priority packet-mark=mark_10_up_high parent=\
    Total_upload priority=2 queue=PCQ_10_M_up
add name=8_M_down_high_priority packet-mark=mark_8_down_high parent=\
    Total_download priority=2 queue=PCQ_8_M_down
add name=8_M_up_high_priority packet-mark=mark_8_up_high parent=Total_upload \
    priority=2 queue=PCQ_8_M_up
add name=8_M_down_low_priority packet-mark=mark_8_down_low parent=\
    Total_download queue=PCQ_8_M_down
add name=8_M_up_low_priority packet-mark=mark_8_up_low parent=Total_upload \
    queue=PCQ_8_M_up
/tool user-manager customer
set admin access=\
    own-routers,own-users,own-profiles,own-limits,config-payment-gw
/interface bridge filter
add action=accept chain=forward in-bridge="bridge moskva" out-bridge=\
    "bridge moskva"
/interface bridge port
add bridge="bridge1 kameri" interface=ether2
add bridge="bridge1 kameri" interface=ether3
add bridge="bridge set1" interface=ether5
add bridge="bridge set1" interface=ether4
add bridge="bridge1 kameri" interface=vlan5
add bridge="bridge1 kameri" interface=vlan3
add bridge="bridge set1" comment="Rezerv port for local net" interface=ether6
/ip firewall connection tracking
set tcp-established-timeout=15m
/interface l2tp-server server
set enabled=yes
/interface pptp-server server
set enabled=yes
/ip address
add address=192.168.1.254/24 interface="bridge set1" network=192.168.1.0
add address=194.257.181.162/27 interface=ether1 network=194.247.191.128
add address=192.168.87.88/24 interface="bridge1 kameri" network=192.168.87.0
add address=192.168.88.254/24 interface="bridge1 kameri" network=192.168.88.0
add address=192.168.8.88/24 interface="bridge set1" network=192.168.8.0
add address=192.168.7.88/24 interface="bridge1 kameri" network=192.168.7.0
add address=192.168.6.254/24 interface="bridge set1" network=192.168.6.0
/ip cloud
set update-time=no
/ip dhcp-server lease
add address=192.168.87.51 client-id=1:0:24:8c:d9:8a:5d mac-address=\
    00:24:8C:D9:8A:5D server=88
add address=192.168.1.42 always-broadcast=yes client-id=1:78:24:af:3c:63:27 \
    mac-address=78:24:AF:3C:63:27 server=1
add address=192.168.1.89 client-id=1:28:c2:dd:9c:31:17 mac-address=\
    28:C2:DD:9C:31:17 server=1
add address=192.168.1.87 always-broadcast=yes client-id=1:80:a5:89:25:d3:9 \
    mac-address=80:A5:89:25:D3:09 server=1
add address=192.168.1.83 always-broadcast=yes client-id=1:80:a5:89:62:a3:41 \
    mac-address=80:A5:89:62:A3:41 server=1
add address=192.168.1.98 client-id=1:30:10:b3:68:bd:49 mac-address=\
    30:10:B3:68:BD:49 server=1
add address=192.168.1.7 always-broadcast=yes client-id=1:0:c0:ee:a8:af:24 \
    mac-address=00:C0:EE:A8:AF:24 server=1
add address=192.168.1.22 always-broadcast=yes client-id=1:0:13:3b:c:5d:fd \
    mac-address=00:13:3B:0C:5D:FD server=1
add address=192.168.1.71 client-id=1:d8:cb:8a:ea:2:86 mac-address=\
    D8:CB:8A:EA:02:86 server=1
add address=192.168.1.8 client-id=1:0:c0:ee:b2:b0:3d mac-address=\
    00:C0:EE:B2:B0:3D server=1
add address=192.168.1.41 always-broadcast=yes client-id=1:50:e5:49:c9:34:c6 \
    mac-address=50:E5:49:C9:34:C6 server=1
add address=192.168.1.51 client-id=1:0:17:c8:1d:f7:d1 mac-address=\
    00:17:C8:1D:F7:D1 server=1
add address=192.168.1.9 always-broadcast=yes mac-address=80:56:F2:5A:E0:04 \
    server=1
add address=192.168.1.64 client-id=1:0:24:1d:d2:5c:1e mac-address=\
    00:24:1D:D2:5C:1E server=1
add address=192.168.1.12 client-id=1:0:e:8:24:de:c0 mac-address=\
    00:0E:08:24:DE:C0 server=1
add address=192.168.1.72 client-id=1:d8:cb:8a:ea:2:a2 mac-address=\
    D8:CB:8A:EA:02:A2 server=1
add address=192.168.1.11 always-broadcast=yes client-id=1:0:e:8:24:de:98 \
    mac-address=00:0E:08:24:DE:98 server=1
add address=192.168.1.57 always-broadcast=yes client-id=1:8:9e:1:2f:71:1c \
    mac-address=08:9E:01:2F:71:1C server=1
add address=192.168.1.49 always-broadcast=yes client-id=1:9c:4e:36:74:66:e4 \
    mac-address=9C:4E:36:74:66:E4 server=1
add address=192.168.1.52 always-broadcast=yes client-id=1:38:2c:4a:6f:ba:72 \
    mac-address=38:2C:4A:6F:BA:72 server=1
add address=192.168.1.62 always-broadcast=yes client-id=1:54:53:ed:2f:e2:a8 \
    mac-address=54:53:ED:2F:E2:A8 server=1
add address=192.168.1.45 client-id=1:0:1f:c6:53:38:21 mac-address=\
    00:1F:C6:53:38:21 server=1
add address=192.168.1.53 always-broadcast=yes client-id=1:80:a5:89:5b:ff:69 \
    mac-address=80:A5:89:5B:FF:69 server=1
add address=192.168.1.70 client-id=1:4c:cc:6a:7:42:40 mac-address=\
    4C:CC:6A:07:42:40 server=1
add address=192.168.1.44 always-broadcast=yes client-id=1:2c:33:7a:f9:20:25 \
    mac-address=2C:33:7A:F9:20:25 server=1
add address=192.168.1.50 client-id=1:74:d0:2b:49:5e:66 mac-address=\
    74:D0:2B:49:5E:66 server=1
add address=192.168.1.46 client-id=1:0:22:15:69:ab:b0 mac-address=\
    00:22:15:69:AB:B0 server=1
add address=192.168.1.73 always-broadcast=yes client-id=1:0:1b:b9:58:7e:71 \
    mac-address=00:1B:B9:58:7E:71 server=1
add address=192.168.1.48 client-id=1:74:d4:35:31:16:9 mac-address=\
    74:D4:35:31:16:09 server=1
add address=192.168.1.99 always-broadcast=yes client-id=1:18:67:b0:60:a9:7b \
    mac-address=18:67:B0:60:A9:7B server=1
add address=192.168.1.84 always-broadcast=yes client-id=1:d0:50:99:54:14:cf \
    mac-address=D0:50:99:54:14:CF server=1
add address=192.168.1.77 client-id=1:0:24:27:fe:87:36 mac-address=\
    00:24:27:FE:87:36 server=1
add address=192.168.1.63 client-id=1:d8:50:e6:4d:8e:6c mac-address=\
    D8:50:E6:4D:8E:6C server=1
add address=192.168.1.86 client-id=1:d8:cb:8a:e9:9:8 mac-address=\
    D8:CB:8A:E9:09:08 server=1
add address=192.168.1.97 always-broadcast=yes client-id=1:1c:6f:65:22:ec:2f \
    mac-address=1C:6F:65:22:EC:2F server=1
add address=192.168.1.43 client-id=1:78:24:af:3c:96:81 mac-address=\
    78:24:AF:3C:96:81 server=1
add address=192.168.1.55 client-id=1:1c:6f:65:38:55:83 mac-address=\
    1C:6F:65:38:55:83 server=1
add address=192.168.1.59 always-broadcast=yes client-id=1:f4:6d:4:40:4:c5 \
    mac-address=F4:6D:04:40:04:C5 server=1
add address=192.168.1.32 client-id=1:f4:6d:4:b:fb:de mac-address=\
    F4:6D:04:0B:FB:DE server=1
add address=192.168.1.47 client-id=1:4c:cc:6a:93:71:1d mac-address=\
    4C:CC:6A:93:71:1D server=1
add address=192.168.1.39 client-id=1:48:d7:5:b8:b6:b mac-address=\
    48:D7:05:B8:B6:0B server=1
add address=192.168.1.38 always-broadcast=yes client-id=1:28:a0:2b:e9:94:bc \
    mac-address=28:A0:2B:E9:94:BC server=1
add address=192.168.1.33 client-id=1:38:94:96:cc:fa:a2 mac-address=\
    38:94:96:CC:FA:A2 server=1
add address=192.168.1.56 client-id=1:e0:b9:a5:95:de:6f mac-address=\
    E0:B9:A5:95:DE:6F server=1
add address=192.168.1.61 client-id=1:74:e6:e2:41:fb:a7 mac-address=\
    74:E6:E2:41:FB:A7 server=1
add address=192.168.1.40 client-id=1:9c:eb:e8:32:8a:ae mac-address=\
    9C:EB:E8:32:8A:AE server=1
add address=192.168.1.68 client-id=1:60:2:92:36:f0:d9 mac-address=\
    60:02:92:36:F0:D9 server=1
add address=192.168.1.96 client-id=1:48:5a:b6:1c:67:79 mac-address=\
    48:5A:B6:1C:67:79 server=1
add address=192.168.1.95 always-broadcast=yes client-id=1:e8:11:32:61:f6:56 \
    mac-address=E8:11:32:61:F6:56 server=1
add address=192.168.1.79 client-id=1:b0:10:41:9a:41:a3 mac-address=\
    B0:10:41:9A:41:A3 server=1
add address=192.168.1.85 always-broadcast=yes client-id=1:5c:8d:4e:4b:23:96 \
    mac-address=5C:8D:4E:4B:23:96 server=1
add address=192.168.1.94 client-id=1:a0:6f:aa:12:b:2d mac-address=\
    A0:6F:AA:12:0B:2D server=1
add address=192.168.88.61 always-broadcast=yes comment=\
    "\EA\EF\EF \D1\C8\D2\C5\CC\C0 \C4\CE\D1\D2\D3\CF\C0" mac-address=\
    14:13:30:00:85:B9 server=88
add address=192.168.1.76 client-id=1:3c:7:71:6e:14:4f mac-address=\
    3C:07:71:6E:14:4F server=1
add address=192.168.1.65 client-id=1:28:e3:47:a5:b0:d3 mac-address=\
    28:E3:47:A5:B0:D3 server=1
add address=192.168.1.78 client-id=1:0:22:15:69:a4:65 mac-address=\
    00:22:15:69:A4:65 server=1
add address=192.168.1.67 client-id=1:2c:33:7a:f8:44:e7 mac-address=\
    2C:33:7A:F8:44:E7 server=1
add address=192.168.1.66 always-broadcast=yes client-id=1:34:17:eb:87:34:4c \
    mac-address=34:17:EB:87:34:4C server=1
add address=192.168.1.14 always-broadcast=yes client-id=1:88:90:8d:3a:d1:1d \
    mac-address=88:90:8D:3A:D1:1D server=1
add address=192.168.1.17 always-broadcast=yes client-id=1:0:19:66:6a:c7:2d \
    mac-address=00:19:66:6A:C7:2D server=1
add address=192.168.1.220 client-id=1:0:15:65:c0:5c:a5 mac-address=\
    00:15:65:C0:5C:A5 server=1
add address=192.168.1.221 client-id=1:0:15:65:c0:5c:2d mac-address=\
    00:15:65:C0:5C:2D server=1
add address=192.168.1.222 client-id=1:0:15:65:c0:5c:27 mac-address=\
    00:15:65:C0:5C:27 server=1
add address=192.168.1.223 client-id=1:0:15:65:c0:5c:5 mac-address=\
    00:15:65:C0:5C:05 server=1
add address=192.168.1.15 client-id=1:88:90:8d:3a:d1:1e mac-address=\
    88:90:8D:3A:D1:1E server=1
add address=192.168.1.74 client-id=1:0:19:66:6a:c7:f4 mac-address=\
    00:19:66:6A:C7:F4 server=1
add address=192.168.1.18 client-id=1:0:ec:a:12:8d:f0 mac-address=\
    00:EC:0A:12:8D:F0 server=1
add address=192.168.1.36 client-id=1:0:35:54:dd:8e:b2 mac-address=\
    00:35:54:DD:8E:B2 server=1
add address=192.168.1.35 comment=Cubot_U25 mac-address=8C:84:01:AA:18:B7 \
    server=1 use-src-mac=yes
/ip dhcp-server network
add address=192.168.1.0/24 dhcp-option=VoIP_logika1 dns-server=\
    192.168.1.254,8.8.8.8 gateway=192.168.1.254 netmask=24
add address=192.168.87.0/24 dns-server=192.168.87.88 gateway=192.168.87.88
add address=192.168.88.0/24 dns-server=192.168.88.254 gateway=192.168.88.254
/ip dns
set allow-remote-requests=yes servers=77.88.8.8,77.88.8.1,8.8.8.8
/ip firewall address-list
add address=192.168.1.37 list=Admin_host_R1
add address=90.156.201.1-90.156.201.255 list=Bitrix24
add address=194.168.131.100 list=Cons1
add address=195.2.82.106 list=Cons2
add address=192.168.1.251 list=DC1_KIT
add address=176.121.214.114 list=For_1c_kontragent1
add address=89.111.148.1-89.111.148.255 list=ITS_1C
add address=81.177.5.1-81.177.5.255 list=Nalog1
add address=185.12.155.1-185.12.155.255 list=Nalog2
add address=81.177.31.1-81.177.31.255 list=Nalog3
add address=192.168.1.252 list=RDP_S6028R_TUL_KIT
add address=192.168.1.59 list=Terminal_TRASTBANK_KIT
add address=192.168.1.229 list=Router_WIFI_KIT_CEH
add address=195.2.77.0/24 list=kam_company_site
add address=80.68.246.1-80.68.246.255 list=rbc_ru
add address=194.190.207.41 list=users_v8_1c_ru
add address=128.30.52.100 list=www_w3_org
add address=192.168.1.2 list=Usergate_KIT
add address=192.168.1.20-192.168.1.29 list="TUL lan 10\EC"
add address=192.168.1.40-192.168.1.79 list="TUL lan 10\EC"
add address=192.168.1.100-192.168.1.209 list="TUL lan 5\EC"
add address=192.168.1.80-192.168.1.99 list="TUL lan 8\EC"
add address=192.168.1.1-192.168.1.253 list=LAN_TUL_torrent_limit
/ip firewall filter
add action=drop chain=forward comment="Drop Invalid connections" \
    connection-state=invalid log-prefix="-INVALID CONNECTION-" out-interface=\
    ether1
add action=accept chain=input dst-port=1723 protocol=tcp
add action=accept chain=input dst-port=1701 protocol=tcp
add action=accept chain=input comment=iptv1 dst-port=4022 protocol=tcp
add action=accept chain=input comment=iptv2 dst-port=4022 log=yes protocol=\
    udp
add action=accept chain=forward comment="Allow Established connections" \
    connection-state=established log-prefix="Allow Established connections" \
    out-interface=ether1
add action=accept chain=forward comment="Allow Established connections" \
    connection-state=established in-interface=ether1 log-prefix=\
    "Allow Established connections"
add action=accept chain=forward comment="Allow related connections" \
    connection-state=related log-prefix="Allow related connections" \
    out-interface=ether1
add action=accept chain=forward comment="Allow related connections" \
    connection-state=related in-interface=ether1 log-prefix=\
    "Allow related connections"
add action=accept chain=forward dst-address=192.168.1.0/24 log=yes \
    out-interface=TUL_NET
add action=accept chain=forward in-interface=TUL_NET log=yes src-address=\
    192.168.1.0/24
add action=accept chain=forward disabled=yes in-interface="bridge set1"
add action=accept chain=forward disabled=yes in-interface=all-wireless
add action=accept chain=input in-interface="bridge1 kameri"
add action=drop chain=input dst-address=194.257.181.162 dst-port=7-122 log=\
    yes protocol=tcp
add action=drop chain=input dst-address=194.257.181.162 dst-port=7-122 log=\
    yes protocol=udp
add action=drop chain=input dst-address=194.257.181.162 dst-port=124-442 log=\
    yes protocol=tcp
add action=drop chain=input dst-address=194.257.181.162 dst-port=124-442 log=\
    yes protocol=udp
add action=drop chain=input dst-port=593 log=yes protocol=tcp
add action=drop chain=input dst-address=194.257.181.162 dst-port=53 log=yes \
    protocol=tcp
add action=drop chain=input dst-address=194.257.181.162 dst-port=53 log=yes \
    protocol=udp
add action=drop chain=forward log=yes src-address=0.0.0.0/8
add action=drop chain=forward dst-address=0.0.0.0/8 log=yes
add action=drop chain=forward log=yes src-address=127.0.0.0/8
add action=drop chain=forward dst-address=127.0.0.0/8 layer7-protocol=!*3 \
    log=yes
add action=drop chain=forward log=yes src-address=224.0.0.0/3
add action=drop chain=forward dst-address=224.0.0.0/3 log=yes
add action=jump chain=forward jump-target=tcp protocol=tcp
add action=jump chain=forward jump-target=icmp protocol=icmp
add action=jump chain=forward jump-target=udp protocol=udp
add action=accept chain=icmp connection-nat-state="" icmp-options=0:0-255 \
    log=yes protocol=icmp src-address-list=0:
add action=drop chain=forward comment="==\CE\E3\F0\E0\ED\E8\F7\E5\ED\E8\E5 \F1\
    \EA\EE\F0\EE\F1\F2\E8 \F2\EE\F0\F0\E5\ED\F2\EE\E2 BEGIN==" \
    connection-limit=40,32 dst-port=!80,443,8080 log=yes log-prefix=\
    *Torrent1* protocol=tcp src-address-list=LAN_TUL_torrent_limit tcp-flags=\
    syn
add action=drop chain=forward connection-limit=40,32 protocol=udp \
    src-address-list=LAN_TUL_torrent_limit
add action=add-dst-to-address-list address-list=dst_list \
    address-list-timeout=none-dynamic chain=forward dst-address=\
    192.168.1.1-192.168.1.253 protocol=udp
add action=accept chain=forward dst-address-list=dst_list dst-limit=\
    250,250,dst-address/1m40s
add action=reject chain=forward comment="==\CE\E3\F0\E0\ED\E8\F7\E5\ED\E8\E5 \
    \F1\EA\EE\F0\EE\F1\F2\E8 \F2\EE\F0\F0\E5\ED\F2\EE\E2 END==" \
    dst-address-list=dst_list log=yes reject-with=icmp-admin-prohibited
add action=drop chain=forward comment=---BLOCK_TORRENTS_BEGIN--- \
    connection-limit=15,32 in-interface=ether1 limit=1,5:packet log=yes \
    log-prefix=---BLOCK_TORRENTS_1--- protocol=tcp src-address=192.168.1.0/24
add action=drop chain=forward connection-limit=3,32 in-interface=ether1 log=\
    yes log-prefix=---BLOCK_TORRENTS_2--- protocol=udp src-address=\
    192.168.1.0/24
add action=drop chain=forward comment=keyword_drop content=torrent \
    in-interface=ether1 log=yes log-prefix=---BLOCK_TORRENTS_3--- \
    src-address=192.168.1.0/24
add action=drop chain=forward comment=trackers_drop content=tracker \
    in-interface=ether1 log=yes log-prefix=---BLOCK_TORRENTS_4--- \
    src-address=192.168.1.0/24
add action=drop chain=forward comment=get_peers_drop content=getpeers \
    in-interface=ether1 log=yes log-prefix=---BLOCK_TORRENTS_5--- \
    src-address=192.168.1.0/24
add action=drop chain=forward comment=info_hash_drop content=info_hash \
    in-interface=ether1 log=yes log-prefix=---BLOCK_TORRENTS_6--- \
    src-address=192.168.1.0/24
add action=drop chain=forward comment=announce_peers_drop content=\
    announce_peers in-interface=ether1 log=yes log-prefix=\
    ---BLOCK_TORRENTS_7--- src-address=192.168.1.0/24
add action=drop chain=forward comment=torrentsites in-interface=ether1 \
    layer7-protocol=torrentsites log=yes log-prefix=---BLOCK_TORRENTS_8--- \
    src-address=192.168.1.0/24
add action=drop chain=forward comment="dropDNS ---BLOCK_TORRENTS_END---" \
    dst-port=53 in-interface=ether1 layer7-protocol=torrentsites log=yes \
    log-prefix=---BLOCK_TORRENTS_9--- protocol=udp src-address=192.168.1.0/24
add action=accept chain=input comment="Allow UDP" disabled=yes protocol=udp
add action=drop chain=tcp comment="deny TFTP" dst-port=69 log=yes log-prefix=\
    "-deny TFTP-" protocol=tcp
add action=drop chain=tcp comment="deny RPC portmapper" dst-port=111 log=yes \
    log-prefix="-deny RPC portmapper-" protocol=tcp
add action=drop chain=tcp comment="deny RPC portmapper" dst-port=135 log=yes \
    log-prefix="-deny RPC portmapper-" protocol=tcp
add action=drop chain=tcp comment="deny NBT" dst-port=137-139 in-interface=\
    ether1 log=yes log-prefix="-deny NBT-" protocol=tcp
add action=drop chain=tcp comment="deny cifs (445)" dst-port=445 log=yes \
    log-prefix="-deny cifsr-" protocol=tcp
add action=drop chain=tcp comment="deny NFS" dst-port=2049 log=yes \
    log-prefix="-deny NFS-" protocol=tcp
add action=drop chain=tcp comment="deny NetBus" dst-port=12345-12346 log=yes \
    log-prefix="-deny NetBus-" protocol=tcp
add action=drop chain=tcp comment="deny NetBus" dst-port=20034 log=yes \
    log-prefix="-deny NetBus-" protocol=tcp
add action=drop chain=tcp comment="deny BackOriffice" dst-port=3133 log=yes \
    log-prefix="-deny BackOriffices-" protocol=tcp
add action=drop chain=udp comment="deny TFTP" dst-port=69 log=yes log-prefix=\
    "-deny TFTP-" protocol=udp
add action=drop chain=udp comment="deny PRC portmapper" dst-port=111 log=yes \
    log-prefix="-deny PRC portmapper-" protocol=udp
add action=drop chain=udp comment="deny NBT" dst-port=137-139 in-interface=\
    ether1 log=yes log-prefix="-deny NBT-" protocol=udp
add action=drop chain=udp comment="deny NBT" dst-port=137-139 in-interface=\
    all-wireless log=yes log-prefix="-deny NBT-" protocol=udp
add action=drop chain=udp comment="deny NFS" dst-port=2049 log=yes \
    log-prefix="-deny NFS-" protocol=udp
add action=drop chain=forward comment="-DROP ALL-" disabled=yes in-interface=\
    "bridge set1" log=yes log-prefix="-DROP ALL-"
add action=drop chain=forward comment="-DROP ALL-" disabled=yes in-interface=\
    all-wireless log=yes log-prefix="-DROP ALL-"
/ip firewall mangle
add action=mark-packet chain=forward comment=mark_8_down_low \
    dst-address-list="TUL lan 8\EC" new-packet-mark=mark_8_up_low \
    passthrough=yes
add action=mark-packet chain=forward comment=\
    "10_Mbit_down_low - add dst addr list" dst-address-list="TUL lan 10\EC" \
    new-packet-mark=mark_10_down_high passthrough=yes
add action=mark-packet chain=forward comment=\
    "5_Mbit_down_low - add dst addr list (100-209)" dst-address-list=\
    "TUL lan 5\EC" new-packet-mark=mark_5_down_low passthrough=yes
add action=mark-packet chain=forward comment=\
    "10_Mbit_up_low - add src addr list" new-packet-mark=mark_10_up_high \
    passthrough=yes src-address-list="TUL lan 10\EC"
add action=mark-packet chain=forward comment=mark_8_up_low new-packet-mark=\
    mark_8_up_low passthrough=yes src-address-list="TUL lan 8\EC"
add action=mark-packet chain=forward comment=\
    "5_Mbit_up_low - add src addr list (100-209)" new-packet-mark=\
    mark_5_up_low passthrough=yes src-address-list="TUL lan 5\EC"
/ip firewall nat
add action=masquerade chain=srcnat comment="usergate to kamkompany site" \
    dst-address-list=kam_company_site src-address-list=Usergate_KIT
add action=masquerade chain=srcnat comment="s6028 to kamkompany site" \
    dst-address-list=kam_company_site src-address-list=RDP_S6028R_TUL_KIT
add action=masquerade chain=srcnat comment="s6028 to kamkompany site" \
    dst-address-list=kam_company_site src-address-list=Usergate_KIT
add action=masquerade chain=srcnat comment="s6028 to bitrix24" \
    dst-address-list=Bitrix24 src-address-list=Usergate_KIT
add action=masquerade chain=srcnat comment="s6028 to bitrix24" \
    dst-address-list=Bitrix24 src-address-list=RDP_S6028R_TUL_KIT
add action=masquerade chain=srcnat comment="s6028 to inet" dst-port=\
    443,80,25,110,3389 protocol=tcp src-address-list=RDP_S6028R_TUL_KIT \
    src-port=""
add action=masquerade chain=srcnat comment=\
    "\C8\ED\F2\E5\F0\ED\E5\F2_\C2\D1\CA_\C2\D1\C5\CC" src-address-list=\
    "!192.168.1.0\\24"
add action=masquerade chain=srcnat comment="\CB\C0\CD " src-address-list=\
    "TUL lan 1.0"
add action=masquerade chain=srcnat comment="\E2\F1\E5\EC \E2\F1\B8" disabled=\
    yes
add action=dst-nat chain=dstnat dst-address=194.257.181.162 dst-port=20009 \
    protocol=tcp to-addresses=192.168.88.9 to-ports=20009
add action=dst-nat chain=dstnat disabled=yes dst-address=194.257.181.162 \
    dst-port=20163 protocol=tcp to-addresses=192.168.88.82 to-ports=34567
add action=dst-nat chain=dstnat comment=6-184 dst-address=194.257.181.162 \
    dst-port=20163 protocol=tcp to-addresses=192.168.6.82 to-ports=34567
add action=dst-nat chain=dstnat disabled=yes dst-address=192.168.88.88 \
    dst-port=20185 protocol=tcp to-addresses=192.168.6.185 to-ports=34567
add action=dst-nat chain=dstnat disabled=yes dst-address=192.168.88.88 \
    dst-port=20184 protocol=tcp to-addresses=192.168.6.184 to-ports=34567
add action=dst-nat chain=dstnat dst-address=194.247.191.153 dst-port=20009 \
    protocol=tcp to-addresses=192.168.88.9 to-ports=20009
add action=dst-nat chain=dstnat dst-address=194.257.181.162 dst-port=28009 \
    protocol=tcp to-addresses=192.168.88.9 to-ports=80
add action=dst-nat chain=dstnat dst-address=194.247.191.153 dst-port=28009 \
    protocol=tcp to-addresses=192.168.88.9 to-ports=80
add action=dst-nat chain=dstnat dst-address=194.257.181.162 dst-port=20010 \
    protocol=tcp to-addresses=192.168.88.10 to-ports=20010
add action=dst-nat chain=dstnat dst-address=194.247.191.153 dst-port=20010 \
    protocol=tcp to-addresses=192.168.88.10 to-ports=20010
add action=dst-nat chain=dstnat dst-address=194.257.181.162 dst-port=28010 \
    protocol=tcp to-addresses=192.168.88.10 to-ports=80
add action=dst-nat chain=dstnat dst-address=194.247.191.153 dst-port=28010 \
    protocol=tcp to-addresses=192.168.88.10 to-ports=80
add action=dst-nat chain=dstnat dst-address=194.257.181.162 dst-port=20211 \
    protocol=tcp to-addresses=192.168.88.211 to-ports=20211
add action=dst-nat chain=dstnat dst-address=194.257.181.162 dst-port=28211 \
    protocol=tcp to-addresses=192.168.88.211 to-ports=80
add action=dst-nat chain=dstnat dst-address=194.257.181.162 dst-port=20212 \
    protocol=tcp to-addresses=192.168.88.212 to-ports=20212
add action=dst-nat chain=dstnat dst-address=194.247.191.153 dst-port=20212 \
    protocol=tcp to-addresses=192.168.88.212 to-ports=20212
add action=dst-nat chain=dstnat dst-address=194.257.181.162 dst-port=28212 \
    protocol=tcp to-addresses=192.168.88.212 to-ports=80
add action=dst-nat chain=dstnat dst-address=194.247.191.153 dst-port=28212 \
    protocol=tcp to-addresses=192.168.88.212 to-ports=80
add action=dst-nat chain=dstnat dst-address=194.257.181.162 dst-port=20213 \
    protocol=tcp to-addresses=192.168.88.213 to-ports=20213
add action=dst-nat chain=dstnat dst-address=194.257.181.162 dst-port=28213 \
    protocol=tcp to-addresses=192.168.88.213 to-ports=80
add action=dst-nat chain=dstnat dst-address=194.257.181.162 dst-port=20214 \
    protocol=tcp to-addresses=192.168.88.214 to-ports=20214
add action=dst-nat chain=dstnat dst-address=194.257.181.162 dst-port=20215 \
    protocol=tcp to-addresses=192.168.88.215 to-ports=20215
add action=dst-nat chain=dstnat dst-address=194.257.181.162 dst-port=28214 \
    protocol=tcp to-addresses=192.168.88.214 to-ports=80
add action=dst-nat chain=dstnat dst-address=194.257.181.162 dst-port=28215 \
    protocol=tcp to-addresses=192.168.88.215 to-ports=80
add action=dst-nat chain=dstnat dst-address=194.257.181.162 dst-port=28201 \
    protocol=tcp to-addresses=192.168.88.201 to-ports=8291
add action=dst-nat chain=dstnat dst-address=194.247.191.153 dst-port=28201 \
    protocol=tcp to-addresses=192.168.88.201 to-ports=8291
add action=dst-nat chain=dstnat dst-address=194.257.181.162 dst-port=28202 \
    protocol=tcp to-addresses=192.168.88.202 to-ports=8291
add action=dst-nat chain=dstnat dst-address=194.257.181.162 dst-port=28203 \
    protocol=tcp to-addresses=192.168.1.203 to-ports=8291
add action=dst-nat chain=dstnat disabled=yes dst-address=194.257.181.162 \
    dst-port=28253 protocol=tcp to-addresses=192.168.88.253 to-ports=8291
add action=dst-nat chain=dstnat dst-address=194.257.181.162 dst-port=28249 \
    protocol=tcp to-addresses=192.168.88.249 to-ports=8291
add action=dst-nat chain=dstnat dst-address=194.257.181.162 dst-port=28248 \
    protocol=tcp to-addresses=192.168.88.248 to-ports=8291
add action=dst-nat chain=dstnat dst-address=194.257.181.162 dst-port=28247 \
    protocol=tcp to-addresses=192.168.88.247 to-ports=8291
add action=dst-nat chain=dstnat dst-address=194.257.181.162 dst-port=28005 \
    protocol=tcp to-addresses=192.168.88.5 to-ports=8291
add action=dst-nat chain=dstnat dst-address=194.257.181.162 dst-port=28065 \
    protocol=tcp to-addresses=192.168.88.65 to-ports=8291
add action=dst-nat chain=dstnat disabled=yes dst-address=194.257.181.162 \
    dst-port=28253 protocol=tcp to-addresses=192.168.88.253 to-ports=8291
add action=dst-nat chain=dstnat dst-address=194.257.181.162 dst-port=28251 \
    protocol=tcp to-addresses=192.168.88.251 to-ports=8291
add action=dst-nat chain=dstnat dst-address=194.257.181.162 dst-port=28253 \
    protocol=tcp to-addresses=192.168.1.253 to-ports=8291
add action=dst-nat chain=dstnat disabled=yes dst-address=194.257.181.162 \
    dst-port=28253 protocol=tcp to-addresses=192.168.88.253 to-ports=8291
add action=dst-nat chain=dstnat dst-address=194.257.181.162 dst-port=28104 \
    protocol=tcp to-addresses=192.168.1.4 to-ports=8291
add action=dst-nat chain=dstnat dst-address=194.257.181.162 dst-port=28105 \
    protocol=tcp to-addresses=192.168.1.5 to-ports=8291
add action=dst-nat chain=dstnat dst-address=194.257.181.162 dst-port=28006 \
    protocol=tcp to-addresses=192.168.1.6 to-ports=8291
add action=dst-nat chain=dstnat disabled=yes dst-address=194.257.181.162 \
    dst-port=28253 protocol=tcp to-addresses=192.168.88.253 to-ports=8291
add action=dst-nat chain=dstnat disabled=yes dst-address=194.257.181.162 \
    dst-port=28253 protocol=tcp to-addresses=192.168.88.253 to-ports=8291
add action=dst-nat chain=dstnat comment=usergate dst-address=194.257.181.162 \
    dst-port=7777 protocol=tcp to-addresses=192.168.1.2 to-ports=3389
add action=dst-nat chain=dstnat comment=s6028r dst-address=194.257.181.162 \
    dst-port=9999 log=yes log-prefix=WAN_to_RDP_S6028R protocol=tcp \
    to-addresses=192.168.1.252 to-ports=3389
add action=dst-nat chain=dstnat comment=s6028r dst-address=194.247.191.153 \
    dst-port=9999 protocol=tcp to-addresses=192.168.1.252 to-ports=3389
add action=dst-nat chain=dstnat comment=r1 dst-address=194.257.181.162 \
    dst-port=8888 protocol=tcp to-addresses=192.168.1.37 to-ports=3389
add action=dst-nat chain=dstnat comment=r1 dst-address=194.247.191.153 \
    dst-port=8888 protocol=tcp to-addresses=192.168.1.37 to-ports=3389
add action=dst-nat chain=dstnat comment=timeinfirm dst-address=\
    194.257.181.162 dst-port=19999 protocol=tcp to-addresses=192.168.1.252 \
    to-ports=19999
add action=dst-nat chain=dstnat comment=timeinfirm2 dst-address=\
    194.257.181.162 dst-port=8000 protocol=tcp to-addresses=192.168.1.252 \
    to-ports=8000
add action=dst-nat chain=dstnat comment="id server" dst-address=\
    194.257.181.162 dst-port=5655 protocol=tcp to-addresses=192.168.1.2 \
    to-ports=5655
add action=dst-nat chain=dstnat comment=dc1 dst-address=194.257.181.162 \
    dst-port=6666 protocol=tcp to-addresses=192.168.1.251 to-ports=3389
add action=dst-nat chain=dstnat comment=dc1 dst-address=194.257.181.162 \
    dst-port=25771 protocol=tcp to-addresses=192.168.7.71 to-ports=80
add action=dst-nat chain=dstnat comment=dc1 dst-address=194.257.181.162 \
    dst-port=25772 protocol=tcp to-addresses=192.168.7.72 to-ports=80
add action=dst-nat chain=dstnat comment=dc1 dst-address=194.257.181.162 \
    dst-port=25773 protocol=tcp to-addresses=192.168.7.73 to-ports=80
add action=dst-nat chain=dstnat comment=dc1 dst-address=194.257.181.162 \
    dst-port=25881 protocol=tcp to-addresses=192.168.8.81 to-ports=80
add action=dst-nat chain=dstnat comment=dc1 disabled=yes dst-address=\
    192.168.8.88 dst-port=25000 protocol=tcp to-addresses=95.154.182.125 \
    to-ports=25555
add action=dst-nat chain=dstnat comment=dc1 dst-address=192.168.8.88 \
    dst-port=25000 protocol=tcp to-addresses=192.168.1.20 to-ports=25000
add action=dst-nat chain=dstnat comment=dc1 disabled=yes dst-address=\
    192.168.7.88 dst-port=25000 protocol=tcp to-addresses=95.154.182.125 \
    to-ports=25555
add action=dst-nat chain=dstnat comment=dc1 dst-address=192.168.7.88 \
    dst-port=25000 protocol=tcp to-addresses=192.168.1.20 to-ports=25000
add action=dst-nat chain=dstnat comment=dc1 dst-address=194.257.181.162 \
    dst-port=25020 protocol=tcp to-addresses=192.168.1.20 to-ports=25020
add action=dst-nat chain=dstnat comment=dc1 disabled=yes dst-address=\
    194.257.181.162 dst-port=3050 protocol=tcp to-addresses=192.168.1.20 \
    to-ports=3050
/ip route
add distance=1 gateway=194.257.181.139
add check-gateway=ping distance=1 dst-address=172.29.188.0/24 gateway=TUL_NET \
    scope=255
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh address=192.168.1.0/24 disabled=yes port=2222
set api disabled=yes
set api-ssl disabled=yes
/ip traffic-flow
set cache-entries=4k enabled=yes
/ip traffic-flow target
add port=9996 src-address=192.168.1.37
/lcd
set default-screen=informative-slideshow
/ppp secret
add local-address=192.168.250.1 name=1 password=1234321 remote-address=\
    192.168.250.2
add local-address=10.24.9.1 name=TUL_office password=7744557 profile=\
    default-encryption remote-address=10.24.9.2 service=pptp
/system clock
set time-zone-autodetect=no time-zone-name=Europe/Moscow
/system identity
set name=GW_KIT
/system ntp client
set enabled=yes primary-ntp=192.168.88.88 secondary-ntp=192.168.88.88
/system ntp server
set manycast=no
/system script
add name=34434 owner=1 policy=\
    ftp,reboot,read,write,policy,test,password,sniff,sensitive,romon source="i\
    p firewall filter add chain=forward action=reject reject-with=icmp-admin-p\
    rohibited dst-address-list=dst_list"
/tool graphing interface
add interface=ether1
/tool graphing resource
add
/tool traffic-monitor
add interface="bridge set1" name=tmon1 threshold=0
/tool user-manager database
set db-path=user-manager


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

Так в чем проблема???
Не получается заблокировать торренты???

Так я вас разочарую, торренты заблокировать средствами микротика невозможно.

Можно применить уровень 7 фильтрации, который вы и пытаетесь сделать, но современные торрент клиенты умеют шифровать трафик, увы.
Можно заблокировать адреса основных торрент-трекеров. Но они появляются новые, да и старые через всякие анонимайзеры и VPN все равно будут доступны.

Вы предприятие???
Тогда это только комплекс мер:
1. запретить пользователям ставить приложения.
2. организовать DNS фильтрацию, силами микротика или, например SkyDNS.
3. организовать контроль посещаемых ресурсов, например, через Mikrobill, с последующей публичной поркой и лишением премии

и так далее.


Vladimir22
Сообщения: 561
Зарегистрирован: 09 дек 2012, 17:12

можно разрешить только нужные порты ...
остальные закрыть - торренты в разы сократятся


orlov_ap
Сообщения: 3
Зарегистрирован: 28 сен 2017, 12:03

У всех стоит Скайп, Он использует теже UDP порты, что и торренты, как тут быть?

Еще не получается ограничить скорость закачки торрентов, все равно как не пытался, качает на максимальной скорости и потом встает на раздачу. Раздачу то же не получается прикрыть.


Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

И всё же, вы поймите, торренты шифруют трафик. Отловить именно их с помощью Микротика нельзя, он не сможет различить трафик. Использовать L7 не поможет. Пока ваши юзеры на своих машинах творят, что им вздумается, вы мало чем можете поправить положение.
Прежде всего жесткое, просто жесточайшее ограничение прав юзера - прямой путь к оздоровлению ситуации в любой локалке. Для исполнения любой хотелки - пусть пишут заявление на имя какого-нибудь большого начальника в вашей конторе с обоснованием. Вам копию заявления, вы по нему рассматриваете ситуацию, приводите свои контрдоводы в случае необходимости.
orlov_ap писал(а):Еще не получается ограничить скорость закачки торрентов,

Кстати, можно в Tree Queue ограничить скорость с использованием burst попробовать. Почитайте, весьма прикольный режим, от торрентов не защитит, но хоть канал не будет забит.


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

А конфиг Вы делали? Уж в целом, он какой то "пёстрый".
Да и как сказали выше, защита и ограничения должны быть в комплексе.

-) А у Вас в конфиге - адресация стандартная, куча DST-правил, и ещё всякого...
-) У Вас рабочий (действующий) ВПН?? (у Вас активны сервер pptp и l2tp) ?
-) Также на портах (на Ether) включена защита от петель, но по-умолчанию (надо знать) там стоит отключение
порта аж на 5 минут, а в целом на свитчах умных петля отрабатывается от 15-до-60 сек.
Поэтому сидеть ещё 4 минуты с неработающими портами - будет не приятный сюрприз, поэтому
тоже советую отредактировать и этот параметр если Вы его включили.
-) Также всё же если Вы начали делать комментарии к бриджам на англиском/транслитом,
то лучше также и продолжать. Вот представьте, Вы хотите конфиг залить в другой роутер
с правкой(ами), а Ваши комментарии на русском? Я не отрицаю комментарии на русском, но
на русском я делал комментарии домашним пользователям, и то, лишь в файрволах...(и как исключение).
-) У Вас в DTS правилах часто или часто-регулярно повторяющие адреса прописаны. Не проще
использовать адрес-листы и уже их использовать в правилах, опять же красиво,
и функционально в будущем при модификации...
-) А Вы используете Q-in-Q ? (спрашиваю потому что у Вас на интерфейсах вилана стоит режим
use-service-tag=yes (это я заметил у вилана3 и у вилана5) ???
-) Зачем так мало ставить, куда то торопитесь? (я про это /ip firewall connection tracking
set tcp-established-timeout=15m). Я вообще этот параметр с большой осторожностью трогал.
-) Пулы для адресации советую называть как pool1-LAN-N88.
А вообще совет от меня лично: не убирайте стандартное название, то есть если создаём бридж,
оставляем название и добавляем уже второе уточняющее название, создаём профиль рррое,
оставляем название рррое и добавляем скажем название провайдера или ещё что-то.
Это в будущем визуально позволяет быстрее понимать что у нас перед глазами и что это за объект
в рамках той или иной задачи. Объяснил мож не складно, но почерк и логика не лишнее при конфигурировании.
-) Правила явно разрешающие Establish и Related пакеты можно не писать уже. По умолчанию с 6.37 или 6.38
они уже внутри прошивки микротика.

P.S.
Сильно не ругайтесь, замечания лично мои, ну а Вы вправе принять их или не принять, или хотя бы взять на вооружение.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Ответить