Множество подсетей в одном address-list

Обсуждение оборудования и его настройки
Ответить
plin2s
Сообщения: 417
Зарегистрирован: 26 сен 2012, 16:17
Контактная информация:

Пытайюсь сделать один большой address-list в котором будет очень много неугодных адресов, как одиночных, так и подсетей.
В вики написано, что можно поставлять адрес, диапозон адресов через тире и подсеть. Так же, если я все правильно понял, можно делать множество записей с одинаковым именем. Но сделать в одну строку перечисление подсетей нельзя.

Единственное, что пришло на ум - сделать скрипт, который будет сам брать строки из файла и по api посылать команды микротику.

Может я упустил какой-нибудь более простой вариант?


vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

Задача не понятна.
В адрес-лист задается имя адрес-листа (группа) и пишется значение в виде адреса, диапазона, сети.
Одна строчка соответствует одной записи


Есть интересная задача и бюджет? http://mikrotik.site
plin2s
Сообщения: 417
Зарегистрирован: 26 сен 2012, 16:17
Контактная информация:

Распишу чуть подробнее. Есть большой список подсетей. Для примера вот такой http://www.ipdeny.com/ipblocks/data/countries/cn.zone. По ходу будут появляться свои списки, которые будут переодически меняться.
Хочу его поместить в address-list с одним именем, чтобы использовать в правилах фаервола.
Можно делать до посинения

Код: Выделить всё

> /ip firewall address-list add list=china address=1.0.1.0/24                            
> /ip firewall address-list add list=china address=1.0.2.0/24
> /ip firewall address-list add list=china address=1.0.8.0/24
...

и потом использовать в правилах. Такой вариант мне более-менее приемлим, но не очень удобен в управлении списком.
Единственный вариант, который придумал - писать внешний скрипт, который будет опрашивать микротик и сверять все строки.

Может будут идеи как лучше это автоматизировать?


vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

Зачем внешний то, отличный список, его можно загрузить средствами микротика и сгенерировать на его основе аддресс-лист


Есть интересная задача и бюджет? http://mikrotik.site
plin2s
Сообщения: 417
Зарегистрирован: 26 сен 2012, 16:17
Контактная информация:

Значит я таки что-то упустил. Какими внутренними средствами это лучше делать? Скриптовать внутри микротика?


vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

fetch - загружаем список в файлик
Дальше скриптом его парсим и генерируем адрес лист. Перед внесением записи в адрес лист проверяем совпадение записей


Есть интересная задача и бюджет? http://mikrotik.site
plin2s
Сообщения: 417
Зарегистрирован: 26 сен 2012, 16:17
Контактная информация:

Ну, я думал делать то же самое, только из-вне. Хорошо, буду пробовать.
Просто мне кажется, что это будет весьма медленно и очень емко по ресурсам.


vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

да ну )) Вам же не каждую секунду надо . Раз в сутки достаточно эту операцию проводить. К тому же внешний скрипт когда будет генерировать адрес лист и встраивать его собственно те же ресурсы затребует от микротика


Есть интересная задача и бюджет? http://mikrotik.site
plin2s
Сообщения: 417
Зарегистрирован: 26 сен 2012, 16:17
Контактная информация:

Зато операции сравнения будут происходить снаружи (а это основные "вычисления"). От микротика потребуется только отдать текущий конфиг и применить изменения.
Да и мне как-то bash/perl ближе. Хотя это будет хороший повод разобраться в языке микротиковских скриптов.


vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

У вас на каждый пук юзера микрот будет выверять адреса из списка.... Это более ресурсоемко нежели генерация листа скриптом


Есть интересная задача и бюджет? http://mikrotik.site
Ответить