Как ограничить диапазоны адресов для входящих запросов?

Обсуждение оборудования и его настройки
vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

Меня изумляет ваше не желание разбираться в вопросе. От этого помогать вам желания нет

7 X chain=forward action=accept src-address-list=IP_GOOD
28 X chain=forward action=drop

ну давайте разбирать

И так с некого адреса с наружи из IP_GOOD свалилась сессия, 7-е правило отработало и пропустило его на форварде - микротик прокинул это до внутреннего сетевого устройства - устройство посылает ответ - 7 правило мимо и срабатывает 28 правило

Судя по помойке у вас в фаерволе вы тыкаете пальцем в небо абсолютно не понимая чего и как
Почитайте хотя бы что такое инпут, форвард, аутпут


Есть интересная задача и бюджет? http://mikrotik.site
DES
Сообщения: 91
Зарегистрирован: 08 авг 2013, 21:12

ну почему 7 правило пропустило, а до 8 дело не дошло ?
я подразумевал что выполняется список сверху-вниз и если правило запрещает что-то, то нижние не тестируются.
до сих пор срабатывало 8 правило и далее, как только включаю 7 - то 7 срабатывает, но 8 и далее не проверяются.
Почему так ?


RB750UP with Firmware:3.19 && RouterOS:6.23
vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

Потому что это логика работы фильтров в ЛЮБОМ фаерволе

Правила обрабатываются с нулевого и дальше, обработка прекращается если сработало правило


Есть интересная задача и бюджет? http://mikrotik.site
vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

Например

1 правило - разрешить все на форварде
2 правило убить все на форварде

2 никогда не сработает т.к. его первое перекрывает и на нем обработка останавливается, если же вы их местами поменяете то у вас все упадет т.к. будет дроп отрабатывать. Но при этом input будет прекрасно себя чувствовать. По сути инета в сети у вас не будет но на микротик вы спокойно попадете и даже сервисы работать будут

В общем идите читайте книжки


Есть интересная задача и бюджет? http://mikrotik.site
DES
Сообщения: 91
Зарегистрирован: 08 авг 2013, 21:12

как сделать так чтобы правило принимало и диапазоны адресов и перенаправляло на внутренние адреса?


RB750UP with Firmware:3.19 && RouterOS:6.23
vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

как как, руками
Диапазон указывается через дефис


Есть интересная задача и бюджет? http://mikrotik.site
DES
Сообщения: 91
Зарегистрирован: 08 авг 2013, 21:12

приведите пример пжлста.


RB750UP with Firmware:3.19 && RouterOS:6.23
vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

1.1.1.1-1.1.1.10


Есть интересная задача и бюджет? http://mikrotik.site
Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

Блииииин, да не понимает он, по ходу!
Ну было :

Код: Выделить всё

 chain=forward action=accept src-address-list=IP_GOOD
 chain=forward action=drop


Сделать:

Код: Выделить всё

 chain=forward action=accept src-address-list=IP_GOOD
chain=forward action=accept dst-address-list=IP_GOOD
 chain=forward action=drop


И все дела...Что-то типа разрешить прохождение пакетов от источника IP_GOOD и разрешить прохождение пакетов к назначению IP_GOOD. Все, что не разрешили - запрещаем.


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
DES
Сообщения: 91
Зарегистрирован: 08 авг 2013, 21:12

только что тут утверждали что если сработает верхние правило то все нижние не имеют значения.
т.е. если сработает ваше chain=forward action=accept src-address-list=IP_GOOD
то наличие
chain=forward action=accept dst-address-list=IP_GOOD
chain=forward action=drop
не имеет смысла.
Или не так?


RB750UP with Firmware:3.19 && RouterOS:6.23
Закрыто