Russian Users MikroTik | Форум пользователей MikroTik

Форум поддержи и обмена опытом пользователей оборудования RouterBOARD и операционной системы RouterOS Латвийского производителя MikroTik
https://forummikrotik.ru/

Медленный Интернет через Mikrotik

https://forummikrotik.ru/viewtopic.php?t=5969

Страница 2 из 3

Re: Медленный Интернет через Mikrotik

Добавлено: 08 ноя 2014, 08:57
podarok66
gmx писал(а):Почитайте тут viewtopic.php?f=15&t=5972

Прилепил тему, чтобы была перед глазами...

Re: Медленный Интернет через Mikrotik

Добавлено: 12 ноя 2014, 16:29
Korben
В общем сбросил все настройки и настроил заново с нуля и... заработало! Я даже не знаю в чём была причина, но скорее всего в методе объединения портов: в предыдущем гайде для каждого порта в бридже выбирался Master port. Сейчас я этого не делал и всё работает как надо - Интернет быстрый, раздаётся на порты и Wi-Fi, всё круто. Спасибо большое за помощь.

Теперь что касаемо firewall'а - мне бы всё же хотелось защитить внутреннюю сеть, плюс существует потребность в блокировке torrent'ов, некоторых сайтов и некоторых портов (чтобы не играли и не качали). Посоветуйте, пожалуйста, где можно об этом почитать, чтобы снова не напороть чего.

Re: Медленный Интернет через Mikrotik

Добавлено: 12 ноя 2014, 18:31
Ze-Ze
Korben писал(а):...Теперь что касаемо firewall'а - мне бы всё же хотелось защитить внутреннюю сеть, плюс существует потребность в блокировке torrent'ов, некоторых сайтов и некоторых портов (чтобы не играли и не качали). Посоветуйте, пожалуйста, где можно об этом почитать, чтобы снова не напороть чего.


Полезные ссылки

Re: Медленный Интернет через Mikrotik

Добавлено: 13 ноя 2014, 14:51
Korben
Ze-Ze писал(а):
Korben писал(а):...Теперь что касаемо firewall'а - мне бы всё же хотелось защитить внутреннюю сеть, плюс существует потребность в блокировке torrent'ов, некоторых сайтов и некоторых портов (чтобы не играли и не качали). Посоветуйте, пожалуйста, где можно об этом почитать, чтобы снова не напороть чего.


Полезные ссылки


Благодарю. И тогда ещё один насущный вопрос: хочу открывать возможность для игр и всяких шалостей по расписанию (во время обеда). Какова последовательность действий? Создать скрипт, добавляющий в файервол правила блокировки портов и сервисов, запускать его с утра и ещё один запускать перед обедом, который будет эти правила удалять. Я правильно мыслю?

Re: Медленный Интернет через Mikrotik

Добавлено: 13 ноя 2014, 14:54
Dragon_Knight
Любое правило фаервола имеет возможность указать время, когда оно действует. Внимательнее изучайте окошки :-):

Re: Медленный Интернет через Mikrotik

Добавлено: 14 ноя 2014, 10:04
Korben
Dragon_Knight писал(а):Любое правило фаервола имеет возможность указать время, когда оно действует. Внимательнее изучайте окошки :-):


Да, виноват, не обратил внимания на вкладку Extra.

В общем настроил блокировку портов по времени, поставил галочку для логирования с префиксом. В итоги вижу следующее:

Изображение

То есть не видно локального адреса, который тянет контент. А ведь это почти самое важное - обнаружить мерзавца. Можно ли как-нибудь логировать и локальный адрес?

Спасибо.

Re: Медленный Интернет через Mikrotik

Добавлено: 14 ноя 2014, 12:38
Dragon_Knight
Хм... Похоже на бардак в правилах. Конфиг с последними изменениями в студию :-):

Re: Медленный Интернет через Mikrotik

Добавлено: 14 ноя 2014, 13:48
Korben
Dragon_Knight писал(а):Хм... Похоже на бардак в правилах. Конфиг с последними изменениями в студию :-):

93.185.77.46 - это внешний IP-адрес. То есть отображаются коннекты только до NAT'а.

 config
# nov/14/2014 16:45:05 by RouterOS 6.21.1
# software id = TRW2-UE2H
#
/interface bridge
add name=LAN
/interface ethernet
set [ find default-name=ether1 ] comment=WAN
set [ find default-name=ether2 ] comment=LAN
set [ find default-name=sfp1 ] disabled=yes
/ip neighbor discovery
set ether1 comment=WAN
set ether2 comment=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
add authentication-types=wpa2-psk eap-methods="" management-protection=\
allowed mode=dynamic-keys name=mikrotik supplicant-identity="" \
wpa2-pre-shared-key=1234567
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n disabled=no l2mtu=2290 mode=\
ap-bridge security-profile=profile ssid=mikrotik
/ip pool
add name=dhcp_pool1 ranges=192.168.1.2-192.168.1.254
/ip dhcp-server
add address-pool=dhcp_pool1 disabled=no interface=LAN lease-time=3d name=\
dhcp1
/port
set 0 name=serial0
/ppp profile
add change-tcp-mss=yes name=kztrns only-one=yes use-compression=yes \
use-encryption=yes use-mpls=no use-vj-compression=yes
/interface pppoe-client
add ac-name="" add-default-route=yes allow=pap,chap,mschap1,mschap2 \
default-route-distance=1 dial-on-demand=no disabled=no interface=ether1 \
keepalive-timeout=60 max-mru=1480 max-mtu=1480 mrru=1600 name=Kaztranscom \
password=WiZpCNVw profile=kztrns service-name="" use-peer-dns=no user=\
Ast_kaz
/system logging action
set 2 remember=yes
/interface bridge port
add bridge=LAN interface=ether2
add bridge=LAN interface=ether3
add bridge=LAN interface=ether4
add bridge=LAN interface=ether5
add bridge=LAN interface=wlan1
/ip address
add address=192.168.1.1/24 interface=LAN network=192.168.1.0
/ip dhcp-server network
add address=192.168.1.0/24 dns-server=192.168.1.1 gateway=192.168.1.1
/ip dns
set allow-remote-requests=yes servers=8.8.8.8,8.8.4.4
/ip firewall filter
add action=drop chain=forward p2p=all-p2p
add action=drop chain=forward comment="torrent-DHT-Out-Magnet d1:ad2:id20:" \
content=d1:ad2:id20: dst-port=1025-65535 in-interface=ether1 packet-size=\
95-190 protocol=udp
add action=drop chain=forward comment="torrent /announce..." content=\
"info_hash=" dst-port=2710,80 in-interface=ether1 protocol=tcp
add action=drop chain=forward comment=".torrent \r\
\nContent-type..." content="\r\
\nContent-Type: application/x-bittorent" out-interface=ether1 protocol=\
tcp src-port=80
add action=drop chain=input comment="drop ftp brute forcers" dst-port=21 \
protocol=tcp src-address-list=ftp_blacklist
add chain=output content="530 Login incorrect" dst-limit=\
1/1m,9,dst-address/1m protocol=tcp
add action=add-dst-to-address-list address-list=ftp_blacklist \
address-list-timeout=3h chain=output content="530 Login incorrect" \
protocol=tcp
add action=drop chain=input comment="drop ssh brute forcers" dst-port=22 \
protocol=tcp src-address-list=ssh_blacklist
add action=add-src-to-address-list address-list=ssh_blacklist \
address-list-timeout=1w3d chain=input connection-state=new dst-port=22 \
protocol=tcp src-address-list=ssh_stage3
add action=add-src-to-address-list address-list=ssh_stage3 \
address-list-timeout=1m chain=input connection-state=new dst-port=22 \
protocol=tcp src-address-list=ssh_stage2
add action=add-src-to-address-list address-list=ssh_stage2 \
address-list-timeout=1m chain=input connection-state=new dst-port=22 \
protocol=tcp src-address-list=ssh_stage1
add action=add-src-to-address-list address-list=ssh_stage1 \
address-list-timeout=1m chain=input connection-state=new dst-port=22 \
protocol=tcp
add action=drop chain=input comment="drop telnet brute forcers" dst-port=23 \
protocol=tcp src-address-list=black_list
add action=add-src-to-address-list address-list=black_list \
address-list-timeout=1d chain=input connection-state=new dst-port=23 \
protocol=tcp src-address-list=telnet_stage3
add action=add-src-to-address-list address-list=telnet_stage3 \
address-list-timeout=1m chain=input connection-state=new dst-port=23 \
protocol=tcp src-address-list=telnet_stage2
add action=add-src-to-address-list address-list=telnet_stage2 \
address-list-timeout=1m chain=input connection-state=new dst-port=23 \
protocol=tcp src-address-list=telnet_stage1
add action=add-src-to-address-list address-list=telnet_stage1 \
address-list-timeout=1m chain=input connection-state=new dst-port=23 \
protocol=tcp
# inactive time
add action=drop chain=input log=yes log-prefix=dota port=27000-28999 \
protocol=udp time=9h-13h,mon,tue,wed,thu,fri
# inactive time
add action=drop chain=input log=yes log-prefix=dota port=27000-28999 \
protocol=tcp time=9h-13h,mon,tue,wed,thu,fri
add action=drop chain=input log=yes log-prefix=dota port=27000-28999 \
protocol=udp time=14h30m-18h,mon,tue,wed,thu,fri
add action=drop chain=input log=yes log-prefix=dota port=27000-28999 \
protocol=tcp time=14h30m-18h,mon,tue,wed,thu,fri
/ip firewall nat
add action=masquerade chain=srcnat src-address=192.168.1.0/24
/ip upnp
set allow-disable-external-interface=no
/snmp
set trap-community=public
/system clock
set time-zone-name=Etc/GMT+6
/system identity
set name=mikrotik

Re: Медленный Интернет через Mikrotik

Добавлено: 14 ноя 2014, 14:46
podarok66
Простите, а Вы точно хоть чуть-чуть читали по настройке фаервола? Как бы не верится, глядя на Ваши настройки вышеупомянутого.
Давайте-ка изложите здесь в двух словах Ваши знания о дефолтных цепочках Filter's и какая за что отвечает...
Заодно и освежим знания у всех в головах.

Re: Медленный Интернет через Mikrotik

Добавлено: 14 ноя 2014, 15:13
Korben
podarok66 писал(а):Простите, а Вы точно хоть чуть-чуть читали по настройке фаервола? Как бы не верится, глядя на Ваши настройки вышеупомянутого.
Давайте-ка изложите здесь в двух словах Ваши знания о дефолтных цепочках Filter's и какая за что отвечает...
Заодно и освежим знания у всех в головах.


Чёрт... чувствую себя как на экзамене. Напугали вы меня - неужто действительно что-то совсем левое добавил?

Ну собственно если речь идёт именно о блокировке игр (помимо них там есть правила для блокировки брутфорс-атак на порты telnet, ssh и ftp, которые я позаимствовал с ресурсов, приведенных Ze-Ze в полезных ссылках), то создавая правила я придерживался следующей логики:
Выбрал цепочку INPUT - входящие пакеты, потому как не вижу большой разницы фильтровать входящие или исходящие - в любом случае буду их дропать.
Порты выбрал на основе заявленных Steam'ом протоколов и портов, указав диапазон 27000-28999.

Цепочка OUTPUT - соответственно исходящие.
FORWARD - пересылка на другой узел.

Я где-то ошибаюсь?
Часовой пояс: UTC+03:00
Страница 2 из 3

Создано на основе phpBB® Forum Software © phpBB Limited

Русская поддержка phpBB