Пытайюсь сделать один большой address-list в котором будет очень много неугодных адресов, как одиночных, так и подсетей.
В вики написано, что можно поставлять адрес, диапозон адресов через тире и подсеть. Так же, если я все правильно понял, можно делать множество записей с одинаковым именем. Но сделать в одну строку перечисление подсетей нельзя.
Единственное, что пришло на ум - сделать скрипт, который будет сам брать строки из файла и по api посылать команды микротику.
Может я упустил какой-нибудь более простой вариант?
Множество подсетей в одном address-list
-
- Сообщения: 417
- Зарегистрирован: 26 сен 2012, 16:17
- Контактная информация:
-
- Модератор
- Сообщения: 3605
- Зарегистрирован: 26 сен 2013, 14:20
- Откуда: НСК
- Контактная информация:
Задача не понятна.
В адрес-лист задается имя адрес-листа (группа) и пишется значение в виде адреса, диапазона, сети.
Одна строчка соответствует одной записи
В адрес-лист задается имя адрес-листа (группа) и пишется значение в виде адреса, диапазона, сети.
Одна строчка соответствует одной записи
Есть интересная задача и бюджет? http://mikrotik.site
-
- Сообщения: 417
- Зарегистрирован: 26 сен 2012, 16:17
- Контактная информация:
Распишу чуть подробнее. Есть большой список подсетей. Для примера вот такой http://www.ipdeny.com/ipblocks/data/countries/cn.zone. По ходу будут появляться свои списки, которые будут переодически меняться.
Хочу его поместить в address-list с одним именем, чтобы использовать в правилах фаервола.
Можно делать до посинения
и потом использовать в правилах. Такой вариант мне более-менее приемлим, но не очень удобен в управлении списком.
Единственный вариант, который придумал - писать внешний скрипт, который будет опрашивать микротик и сверять все строки.
Может будут идеи как лучше это автоматизировать?
Хочу его поместить в address-list с одним именем, чтобы использовать в правилах фаервола.
Можно делать до посинения
Код: Выделить всё
> /ip firewall address-list add list=china address=1.0.1.0/24
> /ip firewall address-list add list=china address=1.0.2.0/24
> /ip firewall address-list add list=china address=1.0.8.0/24
...
и потом использовать в правилах. Такой вариант мне более-менее приемлим, но не очень удобен в управлении списком.
Единственный вариант, который придумал - писать внешний скрипт, который будет опрашивать микротик и сверять все строки.
Может будут идеи как лучше это автоматизировать?
-
- Модератор
- Сообщения: 3605
- Зарегистрирован: 26 сен 2013, 14:20
- Откуда: НСК
- Контактная информация:
Зачем внешний то, отличный список, его можно загрузить средствами микротика и сгенерировать на его основе аддресс-лист
Есть интересная задача и бюджет? http://mikrotik.site
-
- Сообщения: 417
- Зарегистрирован: 26 сен 2012, 16:17
- Контактная информация:
Значит я таки что-то упустил. Какими внутренними средствами это лучше делать? Скриптовать внутри микротика?
-
- Модератор
- Сообщения: 3605
- Зарегистрирован: 26 сен 2013, 14:20
- Откуда: НСК
- Контактная информация:
fetch - загружаем список в файлик
Дальше скриптом его парсим и генерируем адрес лист. Перед внесением записи в адрес лист проверяем совпадение записей
Дальше скриптом его парсим и генерируем адрес лист. Перед внесением записи в адрес лист проверяем совпадение записей
Есть интересная задача и бюджет? http://mikrotik.site
-
- Сообщения: 417
- Зарегистрирован: 26 сен 2012, 16:17
- Контактная информация:
Ну, я думал делать то же самое, только из-вне. Хорошо, буду пробовать.
Просто мне кажется, что это будет весьма медленно и очень емко по ресурсам.
Просто мне кажется, что это будет весьма медленно и очень емко по ресурсам.
-
- Модератор
- Сообщения: 3605
- Зарегистрирован: 26 сен 2013, 14:20
- Откуда: НСК
- Контактная информация:
да ну )) Вам же не каждую секунду надо . Раз в сутки достаточно эту операцию проводить. К тому же внешний скрипт когда будет генерировать адрес лист и встраивать его собственно те же ресурсы затребует от микротика
Есть интересная задача и бюджет? http://mikrotik.site
-
- Сообщения: 417
- Зарегистрирован: 26 сен 2012, 16:17
- Контактная информация:
Зато операции сравнения будут происходить снаружи (а это основные "вычисления"). От микротика потребуется только отдать текущий конфиг и применить изменения.
Да и мне как-то bash/perl ближе. Хотя это будет хороший повод разобраться в языке микротиковских скриптов.
Да и мне как-то bash/perl ближе. Хотя это будет хороший повод разобраться в языке микротиковских скриптов.
-
- Модератор
- Сообщения: 3605
- Зарегистрирован: 26 сен 2013, 14:20
- Откуда: НСК
- Контактная информация:
У вас на каждый пук юзера микрот будет выверять адреса из списка.... Это более ресурсоемко нежели генерация листа скриптом
Есть интересная задача и бюджет? http://mikrotik.site