добрый, помогите разрешить пинги с самого микротик в локалку и инет. в фаерволе имею следующие правила, настраивал по этой статье http://wiki.mikrotik.com/wiki/Manual:IP/Firewall/Filter
[admin@MikroTik] > ip firewall filter print
Flags: X - disabled, I - invalid, D - dynamic
0 ;;; Drop Invalid connections
chain=input action=drop connection-state=invalid
1 ;;; Allow Established connections
chain=input action=accept connection-state=established
2 X ;;; Allow UDP
chain=input action=accept protocol=udp src-address-list=SP_Kom
3 X ;;; Allow ICMP
chain=input action=accept protocol=icmp src-address-list=SP_Kom
4 ;;; Allow access to router from known network
chain=input action=accept src-address=10.5.0.0/16
5 ;;; Allow access to router from known network
chain=input action=accept src-address=10.1.0.0/16
6 ;;; Allow access to router from SP_Kom
chain=input action=accept src-address-list=SP_Kom
7 chain=forward action=accept
8 ;;; Drop anything else
chain=input action=drop
если выключаю последнее правило пинги ходят.
пробовал
chain=output action=accept src-address=10.5.1.1
не помогает
доступ с самого Miktotik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
- simpl3x
- Модератор
- Сообщения: 1532
- Зарегистрирован: 19 апр 2012, 14:03
-
- Сообщения: 12
- Зарегистрирован: 18 июн 2013, 13:06
свои внешние статические. так же внутри локалки 10,5,2,х
- simpl3x
- Модератор
- Сообщения: 1532
- Зарегистрирован: 19 апр 2012, 14:03
ну с
понятно, почему оно не помогает, вы этим правилом делаете разрешение в цепочке output, а блокируется у вас этим правилом:
т.е. в цепочке input
output цепочка у вас не заблокирована ничем, её не трогайте.
если вы пингуете 10.5.2.х, то поидее оно должно попадать в разрешение по правилу:
а с 10.5.2.х вы можете пинговать микротик?
Код: Выделить всё
chain=output action=accept src-address=10.5.1.1
понятно, почему оно не помогает, вы этим правилом делаете разрешение в цепочке output, а блокируется у вас этим правилом:
Код: Выделить всё
chain=input action=drop
т.е. в цепочке input
output цепочка у вас не заблокирована ничем, её не трогайте.
если вы пингуете 10.5.2.х, то поидее оно должно попадать в разрешение по правилу:
Код: Выделить всё
4 ;;; Allow access to router from known network
chain=input action=accept src-address=10.5.0.0/16
а с 10.5.2.х вы можете пинговать микротик?
-
- Сообщения: 12
- Зарегистрирован: 18 июн 2013, 13:06
да, из локалки микротик пингуется
- simpl3x
- Модератор
- Сообщения: 1532
- Зарегистрирован: 19 апр 2012, 14:03
ну а сделайте,
chain=input protocol=icmp action=accept
и поместите его над запрещающим правилом
chain=input protocol=icmp action=accept
и поместите его над запрещающим правилом