Правила файервола.
-
alex_bratsk
- Сообщения: 36
- Зарегистрирован: 27 авг 2012, 17:38
Есть 2 сети: 192.168.1.0/24 и 192.168.0.0/24 По умолчанию пакеты ходят между сетями. Forward drop не помогает и вообще похоже они не идут через файервол. Если ставлю Forward accept, то значения счетчиков байтов и пакетов стоят в ноле и не меняются.
-
iSupport
- Сообщения: 2360
- Зарегистрирован: 06 фев 2011, 20:44
если у вас сети /24 то друг в друга они обязанны ходить через роутер
я бы сделал chain input src-adress=192.168.0.0/24 dst-adress=192.168.1.0/24 action drop
я бы сделал chain input src-adress=192.168.0.0/24 dst-adress=192.168.1.0/24 action drop
Граждане, сколько раз просил =) чем понятнее и точнее сформулирован вопрос - тем понятнее и точнее будет на него ответ.
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь
-
alex_bratsk
- Сообщения: 36
- Зарегистрирован: 27 авг 2012, 17:38
Спасибо, помогло. А можно ли перейти на политику по умолчанию "Запрещено все, что не разрешено."?
В линуксовом файерволе это выглядит так:
iptables -F
iptables -t nat -F
iptables -t mangle -F
###
iptables -P OUTPUT DROP
iptables -P INPUT DROP
iptables -P FORWARD DROP
### Далее разрешающие правила
В линуксовом файерволе это выглядит так:
iptables -F
iptables -t nat -F
iptables -t mangle -F
###
iptables -P OUTPUT DROP
iptables -P INPUT DROP
iptables -P FORWARD DROP
### Далее разрешающие правила
-
iSupport
- Сообщения: 2360
- Зарегистрирован: 06 фев 2011, 20:44
можно, для настройки таких вещей советую подключаться через mac- адрес микротика
Граждане, сколько раз просил =) чем понятнее и точнее сформулирован вопрос - тем понятнее и точнее будет на него ответ.
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь
-
t332
- Сообщения: 95
- Зарегистрирован: 21 сен 2012, 00:32
iSupport - а почему chain input в данном случае?
-
iSupport
- Сообщения: 2360
- Зарегистрирован: 06 фев 2011, 20:44
chain должна быть forward
и не надо НАТить трафик между локальными подсетями, то есть в правилах нат нужно добавлять
dst-adress-list= !LOCAL
а в листе LOCAL указать все свои внутренние 192.168.х.х
и не надо НАТить трафик между локальными подсетями, то есть в правилах нат нужно добавлять
dst-adress-list= !LOCAL
а в листе LOCAL указать все свои внутренние 192.168.х.х
Граждане, сколько раз просил =) чем понятнее и точнее сформулирован вопрос - тем понятнее и точнее будет на него ответ.
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь
-
yamaec
- Сообщения: 1
- Зарегистрирован: 10 фев 2013, 22:30
Ребят, у меня глупый вопрос, наверное:
Что означают буквы «А» и «U» во вкладке IP --> Firewall --> Connections первый столбец слева?
Что означают буквы «А» и «U» во вкладке IP --> Firewall --> Connections первый столбец слева?
-
iSupport
- Сообщения: 2360
- Зарегистрирован: 06 фев 2011, 20:44
наведите мышку и подержите на этой букве
появится табличка с расшифровкой
появится табличка с расшифровкой
Граждане, сколько раз просил =) чем понятнее и точнее сформулирован вопрос - тем понятнее и точнее будет на него ответ.
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь