Не могу настроить firewall

ivantiran · 08 фев 2018, 21:11

Доброго времени суток. Приобрёл роутер mikrotik hex rb750gr3.

Настраивал по этой статье https://hd.zp.ua/nachalnaya-nastrojka-r ... 493-rb800/.

Всё сделал, как там написано. Сменил mac, так как у меня привязка, подключился через pppoe. Пинг на роутере идёт.

DHCP настроил. От 192.168.88.2 до 192.168.88.254. Моя машина подхватила 254 ip-шник.

Всё было замечательно, пока не обнаружил, что страницы 192.168.88.1/cfg нет.

Пришлось firewall и nat настраивать вручную.

Настраивал по этой статье http://tvoi-setevichok.ru/setevoe-oboru ... nosti.html

Настройки firewall и nat у меня, как по ссылке выше, однако с хостов соединения к интернету нет.

[/url]

Подскажите, что я не так сделал.

kursy_po_it_ru · 08 фев 2018, 21:22

Прежде всего отключите все правила в /ip firewall filter и проверьте еще раз. Если заработает, то проблема в них. Если не заработает, то в чем-то другом. Если заработает, то выложите сюда выдачу команды /ip firewall filter export.

P. S. по диагонали пробежался по второй статье по настройке файервола. Это не самая грамотная стать по настройке файервола.

ivantiran · 08 фев 2018, 21:56

хорошо. Сегодня уже не смогу, так как моим нужен инет. Завтра отпишусь.

ivantiran · 09 фев 2018, 22:48

Смог настроить благодаря статье https://habrahabr.ru/post/265387/.

Однако.

Почему у меня на динамически выделяемых ip не подхватываются dns ?

Я на ПК настроил сеть по статическим IP и прописал 8.8.8.8. Так работает.

Но, если подключусь динамически - открываться сайты не будут, только пинговаться их ip.

Как решить проблему?

kursy_po_it_ru · 09 фев 2018, 23:47

ivantiran писал(а): ↑09 фев 2018, 22:48 Смог настроить благодаря статье https://habrahabr.ru/post/265387/.

Однако.

Почему у меня на динамически выделяемых ip не подхватываются dns ?

Я на ПК настроил сеть по статическим IP и прописал 8.8.8.8. Так работает.

Но, если подключусь динамически - открываться сайты не будут, только пинговаться их ip.

Как решить проблему?

Всю статью читать не стал. Но файервол он там "жестко" настраивает. Потом плодятся по интернету такие горе настройки. Вася скопирует у Пети, Коля у Васи, Толик у Коли. А потом каждый в своем блоге такую настройку разместит.

Я Вас не понял. Вы имеете в виду, что если компьютер получает адрес DNS-сервера по DHCP, то не работает, а если Вы прописываете его на ПК вручную, то работает так?

Вы обратились на форум за помощью. Я потратил время и дал Вам подсказку, что делать. Вы сказали, что сделаете и напишете по результату. В итоге пишете, что взяли и настроили еще по другому. Сейчас я опять потрачу время и скажу Вам что-то сделать. А Вы в ответ опять дадите ссылку на какую-то левую статью из Интернета и скажете, что опять все перенастроили по ней и столкнулись с какой-то третьей проблемой и опять спросите что делать?

Вы уж определитесь кого Вы слушаете.

Выложите выдачу команды export из консоли.

ivantiran · 10 фев 2018, 00:01

Код: Выделить всё

# feb/10/2018 00:00:10 by RouterOS 6.39.3
# software id = TXQX-Z609
#
/interface bridge
add name=br1-lan
/interface ethernet
set [ find default-name=ether1 ] mac-address=90:F6:52:B9:5B:BC name=eth1-wan
set [ find default-name=ether5 ] name=eth5-lan
/interface pppoe-client
add add-default-route=yes disabled=no interface=eth1-wan keepalive-timeout=60 \
    max-mru=1480 max-mtu=1480 mrru=1600 name=tap1-wan password=564533 \
    use-peer-dns=yes user=4954-90147
/interface ethernet
set [ find default-name=ether2 ] master-port=eth5-lan name=eth2-lan
set [ find default-name=ether3 ] master-port=eth5-lan name=eth3-lan
set [ find default-name=ether4 ] master-port=eth5-lan name=eth4-lan
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip hotspot profile
set [ find default=yes ] html-directory=flash/hotspot
/ip pool
add name=dhcp-pc ranges=192.168.10.100-192.168.10.200
/ip dhcp-server
add address-pool=dhcp-pc disabled=no interface=br1-lan lease-time=8h name=\
    dhcp-pc
/interface bridge port
add bridge=br1-lan interface=eth5-lan
add bridge=br1-lan disabled=yes interface=eth1-wan
/ip address
add address=192.168.10.1/24 interface=br1-lan network=192.168.10.0
/ip dhcp-client
add dhcp-options=hostname,clientid disabled=no interface=eth1-wan
/ip dhcp-server network
add address=192.168.10.0/24 dns-server=192.168.10.1 gateway=192.168.10.1 \
    netmask=24
/ip firewall filter
add chain=input protocol=icmp
add chain=input connection-state=new dst-port=80,8291,22 in-interface=br1-lan \
    protocol=tcp src-address=192.168.10.0/24
add action=accept chain=input connection-mark=allow_in connection-state=new \
    dst-port=80 in-interface=tap1-wan protocol=tcp
add chain=input connection-state=new dst-port=53,123 protocol=udp src-address=\
    192.168.10.0/24
add chain=input connection-state=established,related
add chain=output connection-state=!invalid
add action=accept chain=forward connection-state=established,new in-interface=\
    br1-lan out-interface=tap1-wan src-address=192.168.10.0/24
add action=accept chain=forward connection-state=established,related \
    in-interface=tap1-wan out-interface=br1-lan
add action=drop chain=input
add action=drop chain=output
add action=drop chain=forward
/ip firewall mangle
add action=mark-connection chain=prerouting connection-state=new dst-port=9999 \
    new-connection-mark=allow_in protocol=tcp
/ip firewall nat
add action=masquerade chain=srcnat out-interface=tap1-wan src-address=\
    192.168.10.0/24
add action=redirect chain=dstnat dst-port=9999 protocol=tcp to-ports=80
/system clock
set time-zone-name=Europe/Moscow
/system routerboard settings
# Warning: memory not running at default frequency
set memory-frequency=1200DDR

ivantiran · 10 фев 2018, 00:06

DNS работает только, если его прописать вручную.

По DHCP получает только ip без DNS.

10 фев 2018, 09:11

ivantiran писал(а): ↑10 фев 2018, 00:06 DNS работает только, если его прописать вручную.
По DHCP получает только ip без DNS.

Не знаю, я по Вашей конфигурации вижу вот что:
а) Ваш DHCP настроен отдавать DNS клиентам (это IP Вашего роутера),
вот кусочек где это прописано

/ip dhcp-server network
add address=192.168.10.0/24 dns-server=192.168.10.1 gateway=192.168.10.1 \
netmask=24

б) а вот настройки, чтобы Микротик работал как кеширующий ДНС я не увидел,
и получается так, что клиенты получают IP в качестве ДНС, а ДНС им не отвечает.
Зайдите в раздел IP - там выберите пункт DNS и появившемся окне поставьте галочку
напротив allow-remote-requests
При этом Ваш микротик будет обрабатывать ДНС запросы, главное проверить файрвол,
чтобы ДНС запросы снаружи были закрыты, а то Вас атаками замучают.

ivantiran · 10 фев 2018, 09:47

Vlad-2 писал(а): ↑10 фев 2018, 09:11
ivantiran писал(а): ↑10 фев 2018, 00:06 DNS работает только, если его прописать вручную.
По DHCP получает только ip без DNS.
Не знаю, я по Вашей конфигурации вижу вот что:
а) Ваш DHCP настроен отдавать DNS клиентам (это IP Вашего роутера),
вот кусочек где это прописано
/ip dhcp-server network
add address=192.168.10.0/24 dns-server=192.168.10.1 gateway=192.168.10.1 \
netmask=24
б) а вот настройки, чтобы Микротик работал как кеширующий ДНС я не увидел,
и получается так, что клиенты получают IP в качестве ДНС, а ДНС им не отвечает.
Зайдите в раздел IP - там выберите пункт DNS и появившемся окне поставьте галочку
напротив allow-remote-requests
При этом Ваш микротик будет обрабатывать ДНС запросы, главное проверить файрвол,
чтобы ДНС запросы снаружи были закрыты, а то Вас атаками замучают.

Спасибо. По DHCP DNS заработал!!!

Не могу настроить firewall

Вход • Регистрация