Как ограничить диапазоны адресов для входящих запросов?

Обсуждение оборудования и его настройки
DES
Сообщения: 91
Зарегистрирован: 08 авг 2013, 21:12

Чтобы китайцы не долбили?


RB750UP with Firmware:3.19 && RouterOS:6.23
Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

В фаерволе через дроп.


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
DES
Сообщения: 91
Зарегистрирован: 08 авг 2013, 21:12

примерчик можно ?
мне нужно запретить весь интернет, кроме некоторого списка диапазонов.


RB750UP with Firmware:3.19 && RouterOS:6.23
DJGlooM
Сообщения: 73
Зарегистрирован: 27 ноя 2013, 14:05

Я текстом щас красиво не выведу, но может быть вот так? И такой же дроп на input

Изображение


DES
Сообщения: 91
Зарегистрирован: 08 авг 2013, 21:12

так это дропнет диапазон, а мне нужно пропустить диапазон


RB750UP with Firmware:3.19 && RouterOS:6.23
DJGlooM
Сообщения: 73
Зарегистрирован: 27 ноя 2013, 14:05

Слева от поля адреса видите чекбокс? Видите там восклицательный знак? Это означает "not equal"


Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

Восклицательный знак в правиле означает "кроме", "за исключением", "не принимая во внимание".


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

Код: Выделить всё

/ip firewall filter add chain=forward src-address-list=”Googs_address” action=accept
ip firewall filter add chain=forward action=drop

Первое правило разрешит прохождение пакета, если адрес источника включен в список ”Googs_address” . Второе дропает всё остальное.
Для input я всё же немного другие правила пишу, там ведь обращение не к сети, а к роутеру идет.


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
DJGlooM
Сообщения: 73
Зарегистрирован: 27 ноя 2013, 14:05

podarok66 писал(а):Восклицательный знак в правиле означает "кроме", "за исключением", "не принимая во внимание".


Ну в хинте винбокса гласится просто "Not", я развернул до "Not equal", тут ошибки нет кмк :) А переводить можно любым предложенным вами вариантом, да.


DES
Сообщения: 91
Зарегистрирован: 08 авг 2013, 21:12

У меня были свои правила filter.
в частности строка
chain=forward action=accept protocol=tcp dst-port=3389 (счетчик пакетов что-то там насчитывал)

В начале списка добавил строку
/ip firewall filter add chain=forward src-address-list=”Googs_address” action=accept
Все работает (RDP работает, но мое правило уже не считает пакеты.)
А вот когда в конец списка добавил строку
ip firewall filter add chain=forward action=drop
все не работает (в частности RDP)
Последний раз редактировалось DES 31 янв 2014, 21:17, всего редактировалось 1 раз.


RB750UP with Firmware:3.19 && RouterOS:6.23
Закрыто