Поиск определенных правил и их включение/отключение по SSH

Описание каждой версии, обсуждение особенностей и недостатков
Ответить
zipdots
Сообщения: 3
Зарегистрирован: 08 авг 2018, 15:15

Добрый день, гуру.
Помогите с решением задачи:
Необходимо по SSH в общем списке Filter Rules находить правило и включать его, однако правильный запрос написать не могу.
Например: есть созданное отключенное правило:

Код: Выделить всё

 
9   Х   chain=input action=drop protocol=udp in-interface=pppoe-domru dst-port=53 log=no log-prefix=""
С помощью ip firewall filter print я его вижу, и могу включить по его номеру.
Пробую вывести все правила, Dst. Port которых равен "53" с помощью :put [ip firewall filter get [find dst-port =53]], и получаю: no such item
Понимаю, что это не верно, но задачу своими силами решить не могу, прошу помощи.
Какой запрос необходимо выполнить, чтобы из всех существующих правил, включилось только это, найденное по: action=drop protocol=udp dst-port=53


Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

Я в большинстве случаев пользуюсь комментами. Их легко делать абсолютно уникальными и на них строить поиск. Например:

Код: Выделить всё

/ip firewall filter set [find comment="Youtube drop"] disabled=yes 
Если коммент уникален, выключится одно правило, если с этим комментом есть несколько правил, то все они выключатся. То есть при желании можно создать группу из нескольких правил с одним и тем же комментарием и включать-отключать всю группу одной командой.


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
zipdots
Сообщения: 3
Зарегистрирован: 08 авг 2018, 15:15

podarok66 писал(а): 08 авг 2018, 20:32 Я в большинстве случаев пользуюсь комментами. Их легко делать абсолютно уникальными и на них строить поиск. Например:

Код: Выделить всё

/ip firewall filter set [find comment="Youtube drop"] disabled=yes 
Если коммент уникален, выключится одно правило, если с этим комментом есть несколько правил, то все они выключатся. То есть при желании можно создать группу из нескольких правил с одним и тем же комментарием и включать-отключать всю группу одной командой.
Да, с комментарием действительно работает, спасибо

Код: Выделить всё

> :put [ip firewall filter get [find comment="Block DNS port"]]
.id=*d;.nextid=*f;action=drop;bytes=5672;chain=input;comment=Block DNS port;disabled=false;dst-port=53;dynamic=false;in-interface=pppoe-domru;invalid=false;log=false;log-prefix=;packets=90;protocol=udp
Однако, парк из 100+ микротиков уже есть, правила на всех относительно одинаковые, и к сожалению нужные правила без комментариев.
> ip firewall filter set [find dst-port=53] disabled=yes ровным счетом ничего не даёт, есть ли еще какой-то способ?


zipdots
Сообщения: 3
Зарегистрирован: 08 авг 2018, 15:15

Методом проб и ошибок задачу решил, может кому-то пригодится.
Проблема была в ковычках

Код: Выделить всё

ip firewall filter enable [find dst-port =53] - не работает
ip firewall filter enable [find dst-port ="53"] - работает


Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

Ответом служит вот такой эксперимент буквально на коленке:

Код: Выделить всё

[podarok66@RB750Gr3] > {:local a 53; :put [:typeof $a]}
num
[podarok66@RB750Gr3] > {:local a "53"; :put [:typeof $a]}
str
То есть поиск производится для строкового параметра, а не числового. Это нужно учитывать при написании поисковых запросов. Хотя я до сего момента не вникал в это. Так что спасибо за мысль)))


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
Ответить