Все не так.
Вместо 3-х правил можно (и нужно) сделать одно.
add action=drop chain=forward in-interface=WAN connection-state=!established,!related
Правила брэндмауэра для обеспечения внешней безопасности сети с помощью маршрутизатора Mikrotik (Router OS)
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
-
podarok66
- Модератор
- Сообщения: 4360
- Зарегистрирован: 11 фев 2012, 18:49
- Откуда: МО
Каким образом вы в одном правиле хотите описать и инпут и форвард? Да ещё учитывая пожелание вынести пакеты из цепочки форвард ( не знаю зачем, но указано же). ТЗ есть, и если плясать, то именно в рамках этого ТЗ. Не путайте начинающего, он сам без вас ещё не раз этот фаервол в узел завяжет и будет голову ломать, за какой кончик тянуть.
Ну и ещё один момент. Не стоит пытаться придумать универсальное правило. Часто случаются ситуации, когда нужно что-то дописать в фаервол на лету. И вот тут многоуровневые правила могут сыграть с вами злую шутку.
Например, пишете правило, но оно не отрабатывает. Ага, чтобы понять, работает оно вообще или нет, отключаете общий запрет (то самое правило дропа)_. А ваш запрет включал ещё какие-то оговорки и они теперь не учитываются. И новое устройство или программа, для которых вы и пытаетесь написать правило, как-то зависит от этих оговорок. Но вы-то их исключили из фаервола, отключая дроп. И в итоге то, что вроде бы должно работать, капризничает. А вы будете копать землю, и не факт, что сообразите, чего там у вас не так.
Да и вообще, я established и related стараюсь разрешить в самом верху фаервола, потом уже можно оговорить, что и куда там идёт, и только потом дроп. Правила-то выполняются по порядку. Пусть уж созданные соединения в первом же правиле разрешаются, и не проходят через всю цепочку правил.
Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
-
Erik_U
- Сообщения: 1768
- Зарегистрирован: 09 июл 2014, 12:33
Даже и не собираюсь в одном правиле и инпут и форвард описывать.podarok66 писал(а): ↑22 мар 2019, 19:46Каким образом вы в одном правиле хотите описать и инпут и форвард? Да ещё учитывая пожелание вынести пакеты из цепочки форвард ( не знаю зачем, но указано же). ТЗ есть, и если плясать, то именно в рамках этого ТЗ. Не путайте начинающего, он сам без вас ещё не раз этот фаервол в узел завяжет и будет голову ломать, за какой кончик тянуть.
Ну и ещё один момент. Не стоит пытаться придумать универсальное правило. Часто случаются ситуации, когда нужно что-то дописать в фаервол на лету. И вот тут многоуровневые правила могут сыграть с вами злую шутку.
Например, пишете правило, но оно не отрабатывает. Ага, чтобы понять, работает оно вообще или нет, отключаете общий запрет (то самое правило дропа)_. А ваш запрет включал ещё какие-то оговорки и они теперь не учитываются. И новое устройство или программа, для которых вы и пытаетесь написать правило, как-то зависит от этих оговорок. Но вы-то их исключили из фаервола, отключая дроп. И в итоге то, что вроде бы должно работать, капризничает. А вы будете копать землю, и не факт, что сообразите, чего там у вас не так.
Да и вообще, я established и related стараюсь разрешить в самом верху фаервола, потом уже можно оговорить, что и куда там идёт, и только потом дроп. Правила-то выполняются по порядку. Пусть уж созданные соединения в первом же правиле разрешаются, и не проходят через всю цепочку правил.
В "простой гениальности" jump сделан только на форвард, поэтому 3 правила "customer" обрабатывают только форвард. Инпут они не обрабатывают.
Jump на следующую строку делать бессмысленно. Разбивать connection-state=established и connection-state=related на 2 правила - бессмысленно. И вообще,для них достаточно сделать исключение в одном запрещающем правиле (в той конструкции, которая приведена).add action=accept chain=input protocol=icmp
add action=accept chain=input connection-state=established in-interface=WAN
add action=accept chain=input connection-state=related in-interface=WAN
add action=drop chain=input in-interface=WAN
add action=jump chain=forward in-interface=WAN jump-target=customer
add action=accept chain=customer connection-state=established
add action=accept chain=customer connection-state=related
add action=drop chain=customer
add action=drop chain=forward in-interface=WAN connection-state=!established,!related
Получится 1 строка вместо 4-х.
Я бы еще понял, если бы после Jump стояло правило, которое например дропает все остальнае пакеты, а цепочка customer написана после него, чтобы туда доходили только пакеты chain=forward in-interface=WAN.
А так, как написано - все равно будут все пакеты проверяться. Как минимум на соответствие chain=customer.
-
Erik_U
- Сообщения: 1768
- Зарегистрирован: 09 июл 2014, 12:33
те 8 строк можно уложить в 3
add action=accept chain=input protocol=icmp
add action=drop chain=input in-interface=WAN connection-state=!established,!related
add action=drop chain=forward in-interface=WAN connection-state=!established,!related
add action=accept chain=input protocol=icmp
add action=drop chain=input in-interface=WAN connection-state=!established,!related
add action=drop chain=forward in-interface=WAN connection-state=!established,!related
-
podarok66
- Модератор
- Сообщения: 4360
- Зарегистрирован: 11 фев 2012, 18:49
- Откуда: МО
Да мы же с вами не "гениальность" джампа обсуждаем 
Да три ваших правила описывают ситуацию полностью. Но! я бы дроп с акцептом на столь глобальном правиле не объединял.
Да три ваших правила описывают ситуацию полностью. Но! я бы дроп с акцептом на столь глобальном правиле не объединял.
Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...