Страница 3 из 4
Re: Настройки firewall Mikrotik RB751G - 2HnD
Добавлено: 02 фев 2013, 07:21
Hormiga
Добрый день.
Дома имеется сабж, работал прекрасно, пока в один прекрасный день провайдер не решил, что PPTP - отличная идея, теперь вот мучаюсь с настройкой.
Суть в следующем: PPTP настроил, галочку "Add Default Route" поставил, "Dial On Demand" - нет. Результат: PPTP подключается, маршрут создается. Проблема в том, что маршрут создается такой же, как и на Default-gateway, и не встает в состояние Active, т.е. если, например, используя утилиту Ping установить Src. Address на адрес vpn, то работает, по умолчанию - нет.
Код: Выделить всё
[admin@MikroTik] > ip route print
Flags: X - disabled, A - active, D - dynamic,
C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme,
B - blackhole, U - unreachable, P - prohibit
# DST-ADDRESS PREF-SRC GATEWAY DISTANCE
0 A S 0.0.0.0/0 10.10.146.1 1
1 DS 0.0.0.0/0 172.16.1.1 1
2 ADC 10.10.146.0/24 10.10.146.29 ether1-gateway 0
3 ADC 172.16.1.1/32 172.16.146.29 VPN BigTelecom 0
4 ADC 192.168.88.0/24 192.168.88.1 bridge-local 0
с distance играться пробовал - не помогло. Описанное в начале с Nat сделал - тоже не помогло:
Код: Выделить всё
[admin@MikroTik] > ip firewall nat print
Flags: X - disabled, I - invalid, D - dynamic
0 ;;; default configuration
chain=srcnat action=masquerade to-addresses=0.0.0.0
out-interface=VPN
Что еще можно попробовать?
Re: Настройки firewall Mikrotik RB751G - 2HnD
Добавлено: 03 фев 2013, 13:27
Hormiga
Решено переписыванием таблицы маршрутизации.
Теперь выглядит так:
Код: Выделить всё
[admin@MikroTik] > ip route print
Flags: X - disabled, A - active, D - dynamic,
C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme,
B - blackhole, U - unreachable, P - prohibit
# DST-ADDRESS PREF-SRC GATEWAY DISTANCE
0 ADS 0.0.0.0/0 172.16.1.1 1
1 A S 10.10.0.0/16 10.10.146.1 1
2 ADC 10.10.146.0/24 10.10.146.29 ether1-gateway 0
3 A S <IP-адрес VPN-сервера> 10.10.146.1 1
4 ADC 172.16.1.1/32 172.16.146.29 VPN BigTelecom 0
5 ADC 192.168.88.0/24 192.168.88.1 bridge-local 0
Re: Настройки firewall Mikrotik RB751G - 2HnD
Добавлено: 03 май 2013, 21:11
fanat
Всем привет!
Прошу помочь знающих (simpl3x я уже сказал спасибо за теорию на наге).
Необходим скрипт который бы планировщиком вырубал определенный ip адрес к примеру 192.168.88.4 в firewall Mikrotik, находящийся в адрес листе с именем user
Ума хватило только на такой скрипт /ip firewall address-list add address=192.168.88.4 disabled=yes list=user
Данный скрипт работает, но он не выключает рабочий 192.168.88.4, а добавляет не активный 192.168.88.4 в адрес лист user
Re: Настройки firewall Mikrotik RB751G - 2HnD
Добавлено: 03 май 2013, 22:07
podarok66
Вы, по-моему, в корне неверно все поняли.
disabled=yes - это вы неактивную запись в адрес-листе создаёте. Зачем? В добавьте нужные Вам адреса в отдельный адрес-лист, а потом дропайте именно трафик с этого адрес-листа.
Код: Выделить всё
/ip firewall address-list add address=192.168.88.4 disabled=no list=drop_user
Код: Выделить всё
/ip firewall filter add action=drop chain=forward protocol=tcp out-interface="ВАШ_ИНТЕРФЕЙС_WAN" src-address-list=drop_user
Запрещающее правило поднять выше разрешающих. У любого адреса, попадающего в этот адрес-лист, режутся исходящие пакеты, следовательно с него уже в инет не попадешь. А вот насчет шедулера, а вы подумали, что клиентов из адрес-листа еще и удалять надо? Или тоже скрипт писать будете?
Re: Настройки firewall Mikrotik RB751G - 2HnD
Добавлено: 04 май 2013, 02:24
simpl3x
fanat писал(а):Всем привет!
Прошу помочь знающих (simpl3x я уже сказал спасибо за теорию на наге).
Необходим скрипт который бы планировщиком вырубал определенный ip адрес к примеру 192.168.88.4 в firewall Mikrotik, находящийся в адрес листе с именем user
Ума хватило только на такой скрипт /ip firewall address-list add address=192.168.88.4 disabled=yes list=user
Данный скрипт работает, но он не выключает рабочий 192.168.88.4, а добавляет не активный 192.168.88.4 в адрес лист user
какой ros у вас? я ради спортивного интереса проверял на 5.24 у меня работает тот скрипт с нага. и как вы его запускаете?
Re: Настройки firewall Mikrotik RB751G - 2HnD
Добавлено: 04 май 2013, 05:40
fanat
simpl3x писал(а):fanat писал(а):Всем привет!
Прошу помочь знающих (simpl3x я уже сказал спасибо за теорию на наге).
Необходим скрипт который бы планировщиком вырубал определенный ip адрес к примеру 192.168.88.4 в firewall Mikrotik, находящийся в адрес листе с именем user
Ума хватило только на такой скрипт /ip firewall address-list add address=192.168.88.4 disabled=yes list=user
Данный скрипт работает, но он не выключает рабочий 192.168.88.4, а добавляет не активный 192.168.88.4 в адрес лист user
какой ros у вас? я ради спортивного интереса проверял на 5.24 у меня работает тот скрипт с нага. и как вы его запускаете?
951G-2HnD прошит 5.24
Запускаю скрипт так, открываю планировщик, добавляю новое действие по расписанию и вставляю строчку скрипта
Например вот рабочие и действующие:
/sys reboot - делаю ежедневную перезагрузку в 06.00
/interface disable wlan1 - выключаю wi fi в 23.00
/interface enable wlan1 - включаю wi fi в 07.00
2 podarok66Мне надо именно просто вырубить планировщиком ип адрес в листе.
Схема у меня такая, поднят дшсп на микротике, юзеры получают ип адреса и привязаны по ип+мак, создан лист в котором указаны ип адреса всех кому дать инет, все остальные идут на переделанную страничку вебсервера микротика и получают информационный текст.
Re: Настройки firewall Mikrotik RB751G - 2HnD
Добавлено: 04 май 2013, 12:26
simpl3x
странно конечно, у меня такие задачи заставляют "моргать" адрес в списке фаервола.
Код: Выделить всё
[admin@internet-hub] > system scheduler export
# may/04/2013 13:23:00 by RouterOS 5.24
#
/system scheduler
add disabled=no interval=10s name=schedule1 on-event="ip firewall address-list\
\_enable [/ip firewall address-list find list=1212 address=1.1.1.1]" \
policy=\
ftp,reboot,read,write,policy,test,winbox,password,sniff,sensitive,api \
start-date=may/04/2013 start-time=09:04:53
add disabled=no interval=10s name=schedule2 on-event="ip firewall address-list\
\_disable [/ip firewall address-list find list=1212 address=1.1.1.1]" \
policy=\
ftp,reboot,read,write,policy,test,winbox,password,sniff,sensitive,api \
start-date=may/04/2013 start-time=09:05:39
Re: Настройки firewall Mikrotik RB751G - 2HnD
Добавлено: 06 май 2013, 07:47
fanat
Добавлю скрин планировщика, может я не так объяснил, задачи по прежнему те же, посредством планировщика микротик вырубать по расписанию определенный адрес из адрес листа фаервола
Данные:
Железо - 951G-2HnD прошит 5.24
название address lista - user
ip address для выключения планировщиком - 192.168.88.4
На данный момент строка выглядит так:
/ip firewall address-list disable [/ip firewall address-list find list= user address=169.168.88.4]
Не работает.
[img]
[IMG]http://s53.radikal.ru/i141/1305/9d/a105fa7dd356t.jpg[/img][/img]
Re: Настройки firewall Mikrotik RB751G - 2HnD
Добавлено: 06 май 2013, 07:59
simpl3x
list= user - так у вас же там пробел, может быть в нем проблема?
попробуйте без планировщика, просто в терминале попробуйте запустить команду.
Re: Настройки firewall Mikrotik RB751G - 2HnD
Добавлено: 06 май 2013, 08:52
fanat
Пробел убрал (пробовал запускать на другом адрес листе, не дотер пробел), запуск делал и в терминале - не срабатывает строка.
Должна же работать, если у Вас работает.