Здравствуйте.
RB941-2nD-TC. Оставил все по умолчанию, только настроил локалку.
И добавил правила файволла:
/ip firewall filter
add chain=forward dst-address=192.168.0.1 log=yes src-address=\
10.12.250.1-10.12.250.254
add action=drop chain=input dst-port=53 in-interface=bridge protocol=udp
add action=drop chain=forward dst-address=!188.188.188.1-188.188.188.14 \
in-interface=bridge log=yes src-address=10.12.250.1-10.12.250.254
Все работает нормально - из локалки девайсы имеют доступ только к
188.188.188.1-188.188.188.14. И 53 порт для них закрыт.
Тут пришла распечатка от спутникового провайдера и оказалось- намотало трафика
на левые IP 81.198.87.240 91.188.51.139 (порт 15252)
и на днс провайдера.
Хотя на стороне сп. оператора стоит еще дополнительный файрволл,по деньгам всеравно вышло плохо.
Оператор считает трафик в обе стороны (то бишь и до его файрволла).
Получается микротик живет сам по себе? Всю голову сломал себе.
Рашьше стоял другой роутер (не микротик), но такого небыло.
Подскажите пож. куда мне копать. Пока временно добавил правило:
запрещающее самому роутеру ходит на эти левые адреса ( output)
Трафик от Mikrotik?
- podarok66
- Модератор
- Сообщения: 4355
- Зарегистрирован: 11 фев 2012, 18:49
- Откуда: МО
Это адреса Cloud Mikrotik, запретите их, если вам этот сервис не нужен, да и сервис можно выключить.
Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
- Bootmen
- Сообщения: 9
- Зарегистрирован: 17 окт 2017, 12:54
Спасибо.
Не подскажете как выключить этот сервис? А то десяток таких устройств редактирую удаленно и
любая ошибка может выйти боком. до некоторых устройств только вертолетом можно
добраться.
Нашел сам эту волшебную кнопку. Правда там стояла галка только =Update time=
Отключение ее решит проблему или все равно надо эти IP дропать?
Не подскажете как выключить этот сервис? А то десяток таких устройств редактирую удаленно и
любая ошибка может выйти боком. до некоторых устройств только вертолетом можно
добраться.
Нашел сам эту волшебную кнопку. Правда там стояла галка только =Update time=
Отключение ее решит проблему или все равно надо эти IP дропать?
Последний раз редактировалось Bootmen 17 окт 2017, 18:53, всего редактировалось 1 раз.
-
- Сообщения: 533
- Зарегистрирован: 03 сен 2017, 03:08
- Откуда: Marienburga
Bootmen писал(а):Не подскажете как выключить этот сервис?
Но только если ИР статическое, тогда можно выключить.
К стати - этот сервис по умолчанию выключен.
/ip cloud set ddns-enabled=no
- Bootmen
- Сообщения: 9
- Зарегистрирован: 17 окт 2017, 12:54
mafijs писал(а):Bootmen писал(а):Не подскажете как выключить этот сервис?
Но только если ИР статическое, тогда можно выключить.
К стати - этот сервис по умолчанию выключен.
/ip cloud set ddns-enabled=no
Адрес статический только в сети провайдера. В инет соответственно попадаешь Натом.
В панели только включена = update time= Значит это не решит проблему?
-
- Сообщения: 533
- Зарегистрирован: 03 сен 2017, 03:08
- Откуда: Marienburga
Вопрос : зачем это правило "аdd action=drop chain=input dst-port=53 in-interface=bridge" на бридже ?
По идее должно быть на входном интерфейсе.
По идее должно быть на входном интерфейсе.
- Bootmen
- Сообщения: 9
- Зарегистрирован: 17 окт 2017, 12:54
mafijs писал(а):Вопрос : зачем это правило "аdd action=drop chain=input dst-port=53 in-interface=bridge" на бридже ?
По идее должно быть на входном интерфейсе.
Чтобы устройства в локалке не использовали роутер как днс-релей.
- Vlad-2
- Модератор
- Сообщения: 2531
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
Bootmen писал(а):Чтобы устройства в локалке не использовали роутер как днс-релей.
А не проще отключить сервис и порт который он слушает, тем более если это возможно, чем закрывать сервис?
Не нужен промежуточный/кеширующий ДНС на микротике, заходим в ДНС настройки и снимаем галочку.
- Dragon_Knight
- Сообщения: 1724
- Зарегистрирован: 26 мар 2012, 18:21
- Откуда: МО, Мытищи
- Контактная информация:
Стоп. Мы экономим трафик, при этом запрещаем роутеру кешировать DNS записи? Это тупо...
При этом ещё и NTP клиент включен...
Как-то Вы не тактично подходите к вопросу экономии трафика.
При этом ещё и NTP клиент включен...
Как-то Вы не тактично подходите к вопросу экономии трафика.
Небольшой свод правил логики и ссылок:
- Если устройство имеет Ethernet порт, то оно обязано быть подключено через него. Компьютер, Ноутбук, Телевизор, Принтер, Камера видеонаблюдения, и т.д.
- Если нет возможности протянуть кабель, то найдите её, или страдайте со своими проблемами Wi-Fi дальше.
- Wi-Fi это сеть для мобильных устройств. Если Вы подключили свой шикарный 50" телевизор не кабелем, то без фотоотчёта, когда он лежит у Вас в кармане дальнейшего разговора не получиться. Это относится и ко всем остальным устройствам.
- Если Ваше устройство вызывает вопросы в работе, первое что необходимо делать: NetInstall + дальнейшая настройка вручную.
- Не используйте WebFig или QuickSet - это пути к глюкам и ошибкам. Только SSH или WinBox, и да, - WinBox есть под Android.
- name.rsc - это текстовый файл, и Вы можете его открыть блокнотом.
- Если Вы хотите связаться со мной для ремонта или настройки, то: Telegram ( Не благотворительность ).
- Мой сайт по Mikrotik: Global Zone >> MikroTik.
- Bootmen
- Сообщения: 9
- Зарегистрирован: 17 окт 2017, 12:54
Dragon_Knight писал(а):Стоп. Мы экономим трафик, при этом запрещаем роутеру кешировать DNS записи? Это тупо...
При этом ещё и NTP клиент включен...
Как-то Вы не тактично подходите к вопросу экономии трафика.
Как раз все логично:
Экономим трафик исключая ДНС-запросы (локалка работает только с IP)
И с чего вы взяли, что НТР клиент включен?