Запретить трафик на порту

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
avs
Сообщения: 0
Зарегистрирован: 07 апр 2016, 10:36

Снял, не помогло. Пробовал сделать telnet на 22 порт. Тоже нет ответа.

 Это спойлер, создание которого ТС не осиливает. Непонятно, как он собирается осилить настройку Микротика...

Код: Выделить всё

# apr/08/2016 11:55:24 by RouterOS 6.7
# software id = AM1C-RYNU
#
/interface bridge
add admin-mac=D4:CA:6D:A2:47:FA auto-mac=no l2mtu=1598 name=LanNAT \
    protocol-mode=rstp
add l2mtu=1598 name=bridgeITS
/interface ethernet
set [ find default-name=ether1 ] name=ether1-WAN
set [ find default-name=ether6 ] name=ether6-WAN
set [ find default-name=sfp1 ] name=sfp1-gateway
/ip neighbor discovery
set ether1-WAN discover=no
set sfp1-gateway discover=no
/ip hotspot user profile
set [ find default=yes ] idle-timeout=none keepalive-timeout=2m \
    mac-cookie-timeout=3d
/ip pool
add name=default-dhcp ranges=192.168.88.10-192.168.88.254
add name=dhcp_pool1 ranges=172.16.10.20-172.16.10.100
/ip dhcp-server
add address-pool=dhcp_pool1 disabled=no interface=LanNAT lease-time=1d name=\
    dhcp1
/port
set 0 name=serial0
/interface bridge filter
add chain=forward dst-port=22 ip-protocol=tcp mac-protocol=ip
add chain=forward ip-protocol=icmp mac-protocol=ip
add chain=forward disabled=yes
add action=drop chain=forward out-interface=ether5
add action=drop chain=forward in-interface=ether5
/interface bridge port
add bridge=bridgeITS interface=ether2
add bridge=LanNAT interface=ether7
add bridge=LanNAT interface=ether8
add bridge=LanNAT interface=ether9
add bridge=LanNAT interface=ether10
add bridge=bridgeITS interface=ether3
add bridge=bridgeITS interface=ether4
add bridge=bridgeITS interface=ether5
/ip address
add address=172.16.10.1/24 interface=LanNAT network=172.16.10.0
/ip dhcp-client
add comment="default configuration" dhcp-options=hostname,clientid disabled=no \
    interface=sfp1-gateway
add comment="default configuration" dhcp-options=hostname,clientid disabled=no \
    interface=ether1-WAN
add default-route-distance=0 dhcp-options=hostname,clientid disabled=no \
    interface=ether6-WAN
/ip dhcp-server network
add address=172.16.10.0/24 gateway=172.16.10.1
add address=192.168.88.0/24 comment="default configuration" dns-server=\
    192.168.88.1 gateway=192.168.88.1
/ip dns
set allow-remote-requests=yes servers=192.168.10.1
/ip dns static
add address=192.168.88.1 name=router
/ip firewall filter
add action=drop chain=forward disabled=yes src-address=192.168.10.82
add action=drop chain=forward disabled=yes dst-address=192.168.10.82
add action=drop chain=forward disabled=yes in-interface=ether5
add action=drop chain=forward disabled=yes out-interface=ether5
add chain=input comment="default configuration" protocol=icmp
add chain=input comment="default configuration" connection-state=established
add chain=input comment="default configuration" connection-state=related
add action=drop chain=input comment="default configuration" in-interface=\
    sfp1-gateway
add chain=forward comment="default configuration" connection-state=established
add chain=forward comment="default configuration" connection-state=related
add action=drop chain=forward comment="default configuration" connection-state=\
    invalid
/ip firewall nat
add action=masquerade chain=srcnat comment="default configuration" \
    out-interface=sfp1-gateway
add action=masquerade chain=srcnat comment="default configuration" \
    out-interface=ether1-WAN
add action=masquerade chain=srcnat out-interface=ether6-WAN
/lcd interface
set sfp1-gateway interface=sfp1-gateway
set ether1-WAN interface=ether1-WAN
set ether2 interface=ether2
set ether3 interface=ether3
set ether4 interface=ether4
set ether5 interface=ether5
set ether6-WAN interface=ether6-WAN
set ether7 interface=ether7
set ether8 interface=ether8
set ether9 interface=ether9
set ether10 interface=ether10
/system clock
set time-zone-name=Etc/GMT+3
/system ntp client
set enabled=yes mode=unicast primary-ntp=178.124.164.107
/tool mac-server
set [ find default=yes ] disabled=yes
add interface=ether2
add interface=ether3
add interface=ether4
add interface=ether5
add interface=ether6-WAN
add interface=ether7
add interface=ether8
add interface=ether9
add interface=LanNAT
/tool mac-server mac-winbox
set [ find default=yes ] disabled=yes
add interface=ether2
add interface=ether3
add interface=ether4
add interface=ether5
add interface=ether6-WAN
add interface=ether7
add interface=ether8
add interface=ether9
add interface=LanNAT


Завтра попробую на чистой конфигурации сделать.


Аватара пользователя
Kostetyo
Сообщения: 205
Зарегистрирован: 21 окт 2013, 21:52

vqd писал(а):хм, оказывается по интерфейсам так не работает.

Сделайте фильтр тут /interface bridge filter


Странно, у меня работают правила и в IP -> Firewall -> Filter Rules
Единственное отличие, у меня трафик промаркирован.


Аватара пользователя
Kostetyo
Сообщения: 205
Зарегистрирован: 21 окт 2013, 21:52

avs писал(а):Снял, не помогло. Пробовал сделать telnet на 22 порт. Тоже нет ответа.

 Это спойлер, создание которого ТС не осиливает. Непонятно, как он собирается осилить настройку Микротика...

Код: Выделить всё

# apr/08/2016 11:55:24 by RouterOS 6.7
# software id = AM1C-RYNU
#
/interface bridge
add admin-mac=D4:CA:6D:A2:47:FA auto-mac=no l2mtu=1598 name=LanNAT \
    protocol-mode=rstp
add l2mtu=1598 name=bridgeITS
/interface ethernet
set [ find default-name=ether1 ] name=ether1-WAN
set [ find default-name=ether6 ] name=ether6-WAN
set [ find default-name=sfp1 ] name=sfp1-gateway
/ip neighbor discovery
set ether1-WAN discover=no
set sfp1-gateway discover=no
/ip hotspot user profile
set [ find default=yes ] idle-timeout=none keepalive-timeout=2m \
    mac-cookie-timeout=3d
/ip pool
add name=default-dhcp ranges=192.168.88.10-192.168.88.254
add name=dhcp_pool1 ranges=172.16.10.20-172.16.10.100
/ip dhcp-server
add address-pool=dhcp_pool1 disabled=no interface=LanNAT lease-time=1d name=\
    dhcp1
/port
set 0 name=serial0
/interface bridge filter
add chain=forward dst-port=22 ip-protocol=tcp mac-protocol=ip
add chain=forward ip-protocol=icmp mac-protocol=ip
add chain=forward disabled=yes
add action=drop chain=forward out-interface=ether5
add action=drop chain=forward in-interface=ether5
/interface bridge port
add bridge=bridgeITS interface=ether2
add bridge=LanNAT interface=ether7
add bridge=LanNAT interface=ether8
add bridge=LanNAT interface=ether9
add bridge=LanNAT interface=ether10
add bridge=bridgeITS interface=ether3
add bridge=bridgeITS interface=ether4
add bridge=bridgeITS interface=ether5
/ip address
add address=172.16.10.1/24 interface=LanNAT network=172.16.10.0
/ip dhcp-client
add comment="default configuration" dhcp-options=hostname,clientid disabled=no \
    interface=sfp1-gateway
add comment="default configuration" dhcp-options=hostname,clientid disabled=no \
    interface=ether1-WAN
add default-route-distance=0 dhcp-options=hostname,clientid disabled=no \
    interface=ether6-WAN
/ip dhcp-server network
add address=172.16.10.0/24 gateway=172.16.10.1
add address=192.168.88.0/24 comment="default configuration" dns-server=\
    192.168.88.1 gateway=192.168.88.1
/ip dns
set allow-remote-requests=yes servers=192.168.10.1
/ip dns static
add address=192.168.88.1 name=router
/ip firewall filter
add action=drop chain=forward disabled=yes src-address=192.168.10.82
add action=drop chain=forward disabled=yes dst-address=192.168.10.82
add action=drop chain=forward disabled=yes in-interface=ether5
add action=drop chain=forward disabled=yes out-interface=ether5
add chain=input comment="default configuration" protocol=icmp
add chain=input comment="default configuration" connection-state=established
add chain=input comment="default configuration" connection-state=related
add action=drop chain=input comment="default configuration" in-interface=\
    sfp1-gateway
add chain=forward comment="default configuration" connection-state=established
add chain=forward comment="default configuration" connection-state=related
add action=drop chain=forward comment="default configuration" connection-state=\
    invalid
/ip firewall nat
add action=masquerade chain=srcnat comment="default configuration" \
    out-interface=sfp1-gateway
add action=masquerade chain=srcnat comment="default configuration" \
    out-interface=ether1-WAN
add action=masquerade chain=srcnat out-interface=ether6-WAN
/lcd interface
set sfp1-gateway interface=sfp1-gateway
set ether1-WAN interface=ether1-WAN
set ether2 interface=ether2
set ether3 interface=ether3
set ether4 interface=ether4
set ether5 interface=ether5
set ether6-WAN interface=ether6-WAN
set ether7 interface=ether7
set ether8 interface=ether8
set ether9 interface=ether9
set ether10 interface=ether10
/system clock
set time-zone-name=Etc/GMT+3
/system ntp client
set enabled=yes mode=unicast primary-ntp=178.124.164.107
/tool mac-server
set [ find default=yes ] disabled=yes
add interface=ether2
add interface=ether3
add interface=ether4
add interface=ether5
add interface=ether6-WAN
add interface=ether7
add interface=ether8
add interface=ether9
add interface=LanNAT
/tool mac-server mac-winbox
set [ find default=yes ] disabled=yes
add interface=ether2
add interface=ether3
add interface=ether4
add interface=ether5
add interface=ether6-WAN
add interface=ether7
add interface=ether8
add interface=ether9
add interface=LanNAT


Завтра попробую на чистой конфигурации сделать.


22 порт это ssh
В данный момент у Вас дропается все кроме ICMP.


vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

Kostetyo писал(а):
vqd писал(а):хм, оказывается по интерфейсам так не работает.

Сделайте фильтр тут /interface bridge filter


Странно, у меня работают правила и в IP -> Firewall -> Filter Rules
Единственное отличие, у меня трафик промаркирован.


Не ну да оно работает если галка сотоит соответствующая. Но вот если указываем интерфейсы то у меня микрот заругался. Что меня несколько удивило


Есть интересная задача и бюджет? http://mikrotik.site
Ответить