Страница 2 из 2
Re: Смена IP адреса шлюза
Добавлено: 03 май 2017, 14:37
kanal
Оказывается все из за это!
add action=accept chain=forward src-address=192.168.1.0/24
add action=accept chain=input src-address=192.168.1.0/24
-----
поменял в файрволе на новые адреса и все заработало.
Всем спасибо за помощь!
Re: Смена IP адреса шлюза
Добавлено: 03 май 2017, 14:43
DmNuts
Вот-вот, всё верно.
А ещё уберите из /ip firewall filter правила
Код: Выделить всё
add action=accept chain=input protocol=udp
add action=accept chain=forward protocol=udp
и добавьте следующие:
Код: Выделить всё
/ip firewal raw
add action=drop chain=prerouting comment="Drop DNS udp" dst-port=53 protocol=udp in-interface=ADSL
add action=drop chain=prerouting comment="Drop DNS tcp" dst-port=53 protocol=tcp in-interface=ADSL
add action=drop chain=prerouting comment="Drop DNS udp" dst-port=53 protocol=udp in-interface=ETH
add action=drop chain=prerouting comment="Drop DNS tcp" dst-port=53 protocol=tcp in-interface=ETH
Re: Смена IP адреса шлюза
Добавлено: 03 май 2017, 15:08
kanal
А ещё уберите из /ip firewall filter правила
это через GUI убирать или эти команты, что написали, он убирает?
Вот сейчас такая картина:
http://images.vfl.ru/ii/1493811235/902e ... 088658.jpgпервые 2 записи мне посоветовали сделать, чтоб в случае ЧП смог подключится .
Re: Смена IP адреса шлюза
Добавлено: 03 май 2017, 16:17
DmNuts
kanal писал(а):это через GUI убирать или эти команты, что написали, он убирает?
Убирать проще через Winbox.
Вот сейчас такая картина:
http://images.vfl.ru/ii/1493811235/902e ... 088658.jpgпервые 2 записи мне посоветовали сделать, чтоб в случае ЧП смог подключится .[/quote]
Первые два правила не нужны при наличии №13, которое разрешает любой трафик на роутер из 192.168.0.0/24. На случай ЧП - MAC Winbox.
Re: Смена IP адреса шлюза
Добавлено: 03 май 2017, 16:25
kanal
Ну так теперь , по новому скрину что надо (какие номера) удалить и для чего?
http://images.vfl.ru/ii/1493811235/902e ... 088658.jpg
Re: Смена IP адреса шлюза
Добавлено: 03 май 2017, 16:46
DmNuts
Думаю, надёжнее будет написать текстом. Чтобы не напутать.
Код: Выделить всё
/ip firewall filter
add action=accept chain=input protocol=icmp
add action=accept chain=input connection-state=established,related
add action=accept chain=forward connection-state=established,related
add action=drop chain=input connection-state=invalid
add action=drop chain=forward connection-state=invalid
add action=accept chain=forward src-address=192.168.0.0/23
add action=accept chain=forward dst-address=192.168.0.0/23
add action=accept chain=input src-address=192.168.0.0/23
add action=drop chain=input
add action=drop chain=forward
Ваши правила можно удалить, вместо них вставить вышеперечисленные.
Re: Смена IP адреса шлюза
Добавлено: 04 май 2017, 08:24
kanal
Сделал как сказали. вот правила ДО:
http://images.vfl.ru/ii/1493875298/7b9d ... 097623.jpgудалил все, на терминале выполнил код наверху. результат:
http://images.vfl.ru/ii/1493875369/e72b ... 097639.jpgвроде все работает :)
А как быть с сервис портами?
http://images.vfl.ru/ii/1493875408/46e7 ... 097643.jpgКакие стоит отключить или менять номер порта? я собираюсь пользоваться только через Winbox, доступ только по локалке.
Re: Смена IP адреса шлюза
Добавлено: 04 май 2017, 12:29
DmNuts
Firewall - Service Ports - это совсем другое, называется NAT Helpers. Их либо не трогают, либо отключают, если наблюдаются проблемы с протоколами, которые там перечислены.
Сервисы управления живут в IP - Services. Там отключите всё, кроме Winbox и, возможно, SSH.
