Правила файервола.

Обсуждение ПО и его настройки
Ответить
alex_bratsk
Сообщения: 36
Зарегистрирован: 27 авг 2012, 17:38

02 окт 2012, 14:36

Есть 2 сети: 192.168.1.0/24 и 192.168.0.0/24 По умолчанию пакеты ходят между сетями. Forward drop не помогает и вообще похоже они не идут через файервол. Если ставлю Forward accept, то значения счетчиков байтов и пакетов стоят в ноле и не меняются.


RouterBOARD 2011UAS-2HnD-IN
Version 6.24
Current Firmware 3.19
ftp://angara38.com/Public/Mikrotik
iSupport
Сообщения: 2360
Зарегистрирован: 06 фев 2011, 20:44

02 окт 2012, 22:13

если у вас сети /24 то друг в друга они обязанны ходить через роутер


я бы сделал chain input src-adress=192.168.0.0/24 dst-adress=192.168.1.0/24 action drop


Граждане, сколько раз просил =) чем понятнее и точнее сформулирован вопрос - тем понятнее и точнее будет на него ответ.
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь
alex_bratsk
Сообщения: 36
Зарегистрирован: 27 авг 2012, 17:38

04 окт 2012, 10:06

Спасибо, помогло. А можно ли перейти на политику по умолчанию "Запрещено все, что не разрешено."?
В линуксовом файерволе это выглядит так:
iptables -F
iptables -t nat -F
iptables -t mangle -F
###
iptables -P OUTPUT DROP
iptables -P INPUT DROP
iptables -P FORWARD DROP
### Далее разрешающие правила


RouterBOARD 2011UAS-2HnD-IN
Version 6.24
Current Firmware 3.19
ftp://angara38.com/Public/Mikrotik
iSupport
Сообщения: 2360
Зарегистрирован: 06 фев 2011, 20:44

06 окт 2012, 08:51

можно, для настройки таких вещей советую подключаться через mac- адрес микротика


Граждане, сколько раз просил =) чем понятнее и точнее сформулирован вопрос - тем понятнее и точнее будет на него ответ.
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь
t332
Сообщения: 94
Зарегистрирован: 21 сен 2012, 00:32

08 фев 2013, 14:02

iSupport - а почему chain input в данном случае?


iSupport
Сообщения: 2360
Зарегистрирован: 06 фев 2011, 20:44

09 фев 2013, 10:31

chain должна быть forward

и не надо НАТить трафик между локальными подсетями, то есть в правилах нат нужно добавлять

dst-adress-list= !LOCAL

а в листе LOCAL указать все свои внутренние 192.168.х.х


Граждане, сколько раз просил =) чем понятнее и точнее сформулирован вопрос - тем понятнее и точнее будет на него ответ.
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь
yamaec
Сообщения: 1
Зарегистрирован: 10 фев 2013, 22:30

10 фев 2013, 22:42

Ребят, у меня глупый вопрос, наверное:
Что означают буквы «А» и «U» во вкладке IP --> Firewall --> Connections первый столбец слева?


iSupport
Сообщения: 2360
Зарегистрирован: 06 фев 2011, 20:44

13 фев 2013, 09:13

наведите мышку и подержите на этой букве

появится табличка с расшифровкой


Граждане, сколько раз просил =) чем понятнее и точнее сформулирован вопрос - тем понятнее и точнее будет на него ответ.
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь
Ответить