Помогите разобраться с файерволом 2011UiAS
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
-
- Сообщения: 7
- Зарегистрирован: 09 фев 2016, 16:09
День добрый! За микротиком есть NAS с которого раздаёт Transmission соответствующие порты прокинуты, всё работает. Fierwall настроен на стандартные правила, но недавно обратил внимание, что при проверке порта в Transmission, порт закрыт, как только отключаю последнее правило, тут же порт открыт! Прошу помочь разобраться.
-
- Модератор
- Сообщения: 3300
- Зарегистрирован: 01 окт 2012, 14:48
По картинке невозможно определить, что внутри правил.
Для чего вам правила в фаерволле, если вы не знаете что они делают???
Здесь на форуме прописная истина повторяется на каждой странице: добавляем в Firewall-Filters только те правила, которые вам действительно нужны и вы понимаете, для чего они нужны. Уберите все лишнее.
Для чего вам правила в фаерволле, если вы не знаете что они делают???
Здесь на форуме прописная истина повторяется на каждой странице: добавляем в Firewall-Filters только те правила, которые вам действительно нужны и вы понимаете, для чего они нужны. Уберите все лишнее.
-
- Сообщения: 7
- Зарегистрирован: 09 фев 2016, 16:09
Нет, лишних тут нет правил. мне непонятно почему правило стоящее выше последнего, drop forward, игнорируется. Либо прошу указать на какую-то ошибку! Готов предоставить ещё какие-то настройки. Неужели по правилам невидно в чём косяк?
- podarok66
- Модератор
- Сообщения: 4360
- Зарегистрирован: 11 фев 2012, 18:49
- Откуда: МО
stanyellow писал(а): Неужели по правилам невидно в чём косяк?
По правилам видно, но картинка - это не правила. Правила получим командой ip firewall export Вот результат этой команды и покажите.
Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
-
- Сообщения: 7
- Зарегистрирован: 09 фев 2016, 16:09
-
- Модератор
- Сообщения: 3300
- Зарегистрирован: 01 окт 2012, 14:48
stanyellow писал(а):/ip firewall filter
add chain=input protocol=icmp
add chain=forward protocol=icmp
add chain=input connection-state=established
add chain=forward connection-state=established
add chain=input connection-state=related
add chain=forward connection-state=related
add chain=input dst-port=1723 protocol=tcp
add chain=input protocol=gre
add action=drop chain=input connection-state=invalid
add action=drop chain=forward connection-state=invalid
add chain=input protocol=udp
add chain=forward protocol=udp
add chain=forward in-interface=bridge1 src-address=192.168.2.0/24
add chain=input src-address=192.168.2.0/24
add action=drop chain=input
add action=drop chain=forward disabled=yes
Я же вам в самом начале написал, что используйте только те правила, которые действительно нужны!!!!
Для чего "все запретить", а затем "почти все разрешить"???
Мало того, что толку в плане защиты никакой, так еще и нагрузка на проц, бесполезная!
-
- Сообщения: 7
- Зарегистрирован: 09 фев 2016, 16:09
Я просто совсем недавно начал изучать микротик, как железо очень понравилось+гибкость возможностей, админских сетевых познаний нет, поэтому тогда ещё вопрос, что на ваш взгляд корректнее, убрать "всё разрешить" либо "запретить"? Если не трудно, ткните на некорректные строки! Спасибо
-
- Модератор
- Сообщения: 3300
- Зарегистрирован: 01 окт 2012, 14:48
Убрать все и радоваться жизни.
Добавлять правила только в том случае, если они нужны и вы понимаете, для чего они.
Рекомендую почитать http://podarok66.livejournal.com/10089.html
Добавлять правила только в том случае, если они нужны и вы понимаете, для чего они.
Рекомендую почитать http://podarok66.livejournal.com/10089.html
- podarok66
- Модератор
- Сообщения: 4360
- Зарегистрирован: 11 фев 2012, 18:49
- Откуда: МО
Думаю, если в цепочке input в фильтрах разрешить порт, который пробрасываете для Transmission ( для обоих протоколов, естественно), и поднимете эти правила вверх, все должно заработать.
Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
-
- Сообщения: 7
- Зарегистрирован: 09 фев 2016, 16:09