ip firewall filter add ...... content="Часть строки TCP"?

Описание каждой версии, обсуждение особенностей и недостатков
Ответить
nikolay.chusovskiy
Сообщения: 1
Зарегистрирован: 03 фев 2021, 15:51

Здравствуйте, коллеги.

Собственно возник такой вопрос,
Есть внутренняя сеть с сервером, в которой открыт 1 порт на базу SQL.
Есть внешний сервер, который шлет все что ни попадя.
Есть микрот, в котором настроены базовые правила фильтрации и в тч правило отсечки всего лишнего с этого сервера, кроме запросов на порт N светящий в базу.
К серверу доверия нет.

Хочется донастроить firewall так, чтобы используя поле content="" вписать туда условную форму запроса, а ля "SELECT * From tb.local_spectrum WHERE *" где * - любые символы.

В условиях предоставляемых микротиком, есть только возможность отобрать все содержимое строки в TCP-пакете, а не часть ее. Нужно взять именно часть строки, т.к. запрос меняется. Не сильно, но меняется.

Это вообще возможно ли, и если да, то как?
Символы подстановки микротик в правилах не использует.


Аватара пользователя
Dragon_Knight
Сообщения: 1724
Зарегистрирован: 26 мар 2012, 18:21
Откуда: МО, Мытищи
Контактная информация:

https://wiki.mikrotik.com/wiki/Manual:IP/Firewall/L7
НО это регулярные выражения и на каждый пакет будет серьёзная нагрузка на CPU и скорее это положет роутер быстрее чем сервер к которому нет доверия...


Небольшой свод правил логики и ссылок:
  1. Если устройство имеет Ethernet порт, то оно обязано быть подключено через него. Компьютер, Ноутбук, Телевизор, Принтер, Камера видеонаблюдения, и т.д.
  2. Если нет возможности протянуть кабель, то найдите её, или страдайте со своими проблемами Wi-Fi дальше.
  3. Wi-Fi это сеть для мобильных устройств. Если Вы подключили свой шикарный 50" телевизор не кабелем, то без фотоотчёта, когда он лежит у Вас в кармане дальнейшего разговора не получиться. Это относится и ко всем остальным устройствам.
  4. Если Ваше устройство вызывает вопросы в работе, первое что необходимо делать: NetInstall + дальнейшая настройка вручную.
  5. Не используйте WebFig или QuickSet - это пути к глюкам и ошибкам. Только SSH или WinBox, и да, - WinBox есть под Android.
  6. name.rsc - это текстовый файл, и Вы можете его открыть блокнотом.
  7. Если Вы хотите связаться со мной для ремонта или настройки, то: Telegram ( Не благотворительность ).
  8. Мой сайт по Mikrotik: Global Zone >> MikroTik.
Ответить