Страница 3 из 4
Re: Как ограничить диапазоны адресов для входящих запросов?
Добавлено: 07 фев 2014, 08:17
vqd
Меня изумляет ваше не желание разбираться в вопросе. От этого помогать вам желания нет
7 X chain=forward action=accept src-address-list=IP_GOOD
28 X chain=forward action=drop
ну давайте разбирать
И так с некого адреса с наружи из IP_GOOD свалилась сессия, 7-е правило отработало и пропустило его на форварде - микротик прокинул это до внутреннего сетевого устройства - устройство посылает ответ - 7 правило мимо и срабатывает 28 правило
Судя по помойке у вас в фаерволе вы тыкаете пальцем в небо абсолютно не понимая чего и как
Почитайте хотя бы что такое инпут, форвард, аутпут
Re: Как ограничить диапазоны адресов для входящих запросов?
Добавлено: 07 фев 2014, 15:19
DES
ну почему 7 правило пропустило, а до 8 дело не дошло ?
я подразумевал что выполняется список сверху-вниз и если правило запрещает что-то, то нижние не тестируются.
до сих пор срабатывало 8 правило и далее, как только включаю 7 - то 7 срабатывает, но 8 и далее не проверяются.
Почему так ?
Re: Как ограничить диапазоны адресов для входящих запросов?
Добавлено: 07 фев 2014, 15:28
vqd
Потому что это логика работы фильтров в ЛЮБОМ фаерволе
Правила обрабатываются с нулевого и дальше, обработка прекращается если сработало правило
Re: Как ограничить диапазоны адресов для входящих запросов?
Добавлено: 07 фев 2014, 15:35
vqd
Например
1 правило - разрешить все на форварде
2 правило убить все на форварде
2 никогда не сработает т.к. его первое перекрывает и на нем обработка останавливается, если же вы их местами поменяете то у вас все упадет т.к. будет дроп отрабатывать. Но при этом input будет прекрасно себя чувствовать. По сути инета в сети у вас не будет но на микротик вы спокойно попадете и даже сервисы работать будут
В общем идите читайте книжки
Re: Как ограничить диапазоны адресов для входящих запросов?
Добавлено: 08 фев 2014, 20:53
DES
как сделать так чтобы правило принимало и диапазоны адресов и перенаправляло на внутренние адреса?
Re: Как ограничить диапазоны адресов для входящих запросов?
Добавлено: 09 фев 2014, 06:34
vqd
как как, руками
Диапазон указывается через дефис
Re: Как ограничить диапазоны адресов для входящих запросов?
Добавлено: 09 фев 2014, 13:52
DES
приведите пример пжлста.
Re: Как ограничить диапазоны адресов для входящих запросов?
Добавлено: 09 фев 2014, 14:52
vqd
1.1.1.1-1.1.1.10
Re: Как ограничить диапазоны адресов для входящих запросов?
Добавлено: 09 фев 2014, 19:54
podarok66
Блииииин, да не понимает он, по ходу!
Ну было :
Код: Выделить всё
chain=forward action=accept src-address-list=IP_GOOD
chain=forward action=drop
Сделать:
Код: Выделить всё
chain=forward action=accept src-address-list=IP_GOOD
chain=forward action=accept dst-address-list=IP_GOOD
chain=forward action=drop
И все дела...Что-то типа разрешить прохождение пакетов от источника IP_GOOD и разрешить прохождение пакетов к назначению IP_GOOD. Все, что не разрешили - запрещаем.
Re: Как ограничить диапазоны адресов для входящих запросов?
Добавлено: 09 фев 2014, 22:07
DES
только что тут утверждали что если сработает верхние правило то все нижние не имеют значения.
т.е. если сработает ваше chain=forward action=accept src-address-list=IP_GOOD
то наличие
chain=forward action=accept dst-address-list=IP_GOOD
chain=forward action=drop
не имеет смысла.
Или не так?