Страница 2 из 3
Re: Как запретить доступ к Микротику и ping извне?
Добавлено: 01 сен 2015, 05:55
vqd
А подумать? А то можно и проблем хапнуть от бездумного копи/пасте
Вот например filter add chain=input action=drop
Re: Как запретить доступ к Микротику и ping извне?
Добавлено: 01 сен 2015, 05:59
Elevyr
vqd писал(а): filter add chain=input action=drop
Это ответ на мой вопрос в заголовке темы?
Re: Как запретить доступ к Микротику и ping извне?
Добавлено: 01 сен 2015, 06:03
vqd
не ну в принципе в какой то мере да. Пинги точно ходить до микротика перестанут
Re: Как запретить доступ к Микротику и ping извне?
Добавлено: 01 сен 2015, 06:30
Elevyr
vqd писал(а):не ну в принципе в какой то мере да. Пинги точно ходить до микротика перестанут
Правило filter add chain=input action=drop добавил в терминал командами:
/ip firewall filter
filter add chain=input action=drop.
Пинги всё равно идут. Правда роутер я не перезагружал, не знаю надо, не надо.
Зато вот, что я нашёл:
Минимальный набор правил - сделать недоступным из вне внешний интерфейс роутера:
/ip firewall filter
add chain=input connection-state=invalid action=drop comment="drop invalid connections"
add chain=input connection-state=related action=accept comment="allow related connections"
add chain=input connection-state=established action=accept comment="allow established connections"
add chain=input action=drop comment="drop everything else" in-interface=ether1-gateway
Это отсюда
http://bozza.ru/art-189.html
Re: Как запретить доступ к Микротику и ping извне?
Добавлено: 01 сен 2015, 06:55
Elevyr
Интернет пропал...
Re: Как запретить доступ к Микротику и ping извне?
Добавлено: 01 сен 2015, 11:21
podarok66
Elevyr писал(а):Интернет пропал...
Ну это результат копипаста. Фаервол требует понимания действий. Погодите до вечера, я домой попаду наконец и попробуем решить Ваши траблы. С телефона очень сложно писать, пальцы у меня не под это заточены...
Re: Как запретить доступ к Микротику и ping извне?
Добавлено: 01 сен 2015, 12:16
gmx
Две страницы исписать, вместо того, чтобы почитать.
Код: Выделить всё
chain=input action=drop protocol=icmp in-interface=pppoe-out1 log=no log-prefix=""
где pppoe_out1 - имя вашего WAN интерфейса.
Какой толк от такой помощи, если вы все равно ничему не научились. И это при том, что фаерволл в микротике - мощнейший инструмент, азы которого нужно знать обязательно.
Re: Как запретить доступ к Микротику и ping извне?
Добавлено: 01 сен 2015, 12:38
Elevyr
gmx писал(а):Две страницы исписать, вместо того, чтобы почитать.
А почитать надо, как я понимаю, 600 страниц))
Re: Как запретить доступ к Микротику и ping извне?
Добавлено: 01 сен 2015, 14:17
gmx
А почитать надо, как я понимаю, 600 страниц))
У Микротика тоже есть недостатки.
У вас получилось или нет???
Re: Как запретить доступ к Микротику и ping извне?
Добавлено: 01 сен 2015, 22:21
podarok66
Так, я все-таки попал за нормальный комп, хоть и с задержкой. Как обещал, ограничение доступа к роутеру снаружи:
Код: Выделить всё
/ip service
set telnet address=192.168.0.0/24 disabled=yes
set ftp address=192.168.0.0/24 disabled=yes
set www address=192.168.0.0/24 disabled=yes
set ssh address=192.168.0.0/24
set www-ssl address=192.168.0.0/24 disabled=yes
set api address=192.168.0.0/24 disabled=yes
set winbox address=192.168.0.0/24
set api-ssl address=192.168.0.0/24 disabled=yes
При таком варианте к роутеру можно подключится только через Winbox или по ssh и только из внутренней сети 192.168.0.0/24
Дальше, для прикрытия возможности пинга нужно отключить
ВСЕ правила в Firewall=>Filter и вбить одно единственное типа такого:
Код: Выделить всё
ip firewall filter add chain=input protocol=icmp in-interface=ВАШ_ИНТЕРФЕЙС_СМОТРЯЩИЙ_В_ИНТЕРНЕТ action=drop
Обязательно указываем интерфейс, это как бы помогает определить, где рубить пакеты.
Жду результатов Ваших проб
Прошу прощения за временные разрывы между моими сообщениями, вторую неделю передвигаюсь более чем хаотично. А экран телефона у меня 4 дюйма, с моим плохим зрением особо не поотвечаешь.