Обнаружена блокировка рекламы: Наш сайт существует благодаря показу онлайн-рекламы нашим посетителям. Пожалуйста, подумайте о поддержке нас, отключив блокировщик рекламы на нашем веб-сайте.
Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
-
dkarapetian
- Сообщения: 0
- Зарегистрирован: 03 янв 2013, 19:48
04 янв 2013, 00:01
simpl3x писал(а):Код: Выделить всё
0 ;;; default configuration
chain=input action=accept protocol=icmp
у вас самым первым правилом стоит разрешение на протокол icmp (ping и т.п.) входящие к самому микротику отовсюду. так что чтобы вы не запрещали ниже, ему на это откровенно все равно.
запомните самое главное правило, во всех фаерволах правила читаются сверху вниз, как только пакет попадающий в мтик находит соответствие в этом списке, в этом порядке, он из него вылетает и дальше соответствие не ищется (в общем случае, без использования jump). так и у вас, первым же правилом у вас разрешен пинг к любому из адресов мтика, и запрещаться дальше оно не будет.
и это все что у вас там?
и что откуда вы пингуете?
настраживает фраза "основные адреса видят друг друга"!
да это все!
я пингую с машины 192.168.1.2 на машину 192.168.0.4 - пинг не идет
я пингую с машины 192.168.1.2 на ИП адрес 192.168.0.1- пинг идет
-
simpl3x
- Модератор
- Сообщения: 1532
- Зарегистрирован: 19 апр 2012, 14:03
04 янв 2013, 00:06
ну значит измените\удалите правило
Код: Выделить всё
0 ;;; default configuration
chain=input action=accept protocol=icmp
либо перед ним добавьте:
Код: Выделить всё
chain=input src-address=192.168.0.0/24 dst-address=192.168.1.1 action=drop
chain=input src-address=192.168.1.0/24 dst-address=192.168.0.1 action=drop
причину я вам объяснил выше, добавить нечего.
-
dkarapetian
- Сообщения: 0
- Зарегистрирован: 03 янв 2013, 19:48
04 янв 2013, 09:08
У меня вышло но в таком варианте:
[admin@MikroTik] > ip firewall filter print
Flags: X - disabled, I - invalid, D - dynamic
0 ;;; block
chain=input action=drop src-address=192.168.1.0/24
dst-address=192.168.0.0/24
1 chain=input action=drop src-address=192.168.0.0/24
dst-address=192.168.1.0/24
2 chain=forward action=drop src-address-list=Wi-Fi dst-address-list=LAN
3 chain=forward action=drop src-address-list=LAN dst-address-list=Wi-Fi
4 ;;; default configuration
chain=input action=accept protocol=icmp
5 ;;; default configuration
chain=input action=accept connection-state=established
6 ;;; default configuration
chain=input action=accept connection-state=related
в этом случае две сети друг друга не видят и не посылают запросы пакетов.
-
simpl3x
- Модератор
- Сообщения: 1532
- Зарегистрирован: 19 апр 2012, 14:03
04 янв 2013, 11:03
Код: Выделить всё
0 ;;; block
chain=input action=drop src-address=192.168.1.0/24
dst-address=192.168.0.0/24
1 chain=input action=drop src-address=192.168.0.0/24
dst-address=192.168.1.0/24
ну собственно разницы между мои вариантом нет, кроме конешно того, не описанного вами варианта, что у мтика может быть несколько адресов.
-
dkarapetian
- Сообщения: 0
- Зарегистрирован: 03 янв 2013, 19:48
04 янв 2013, 11:21
simpl3x писал(а):Код: Выделить всё
0 ;;; block
chain=input action=drop src-address=192.168.1.0/24
dst-address=192.168.0.0/24
1 chain=input action=drop src-address=192.168.0.0/24
dst-address=192.168.1.0/24
ну собственно разницы между мои вариантом нет, кроме конешно того, не описанного вами варианта, что у мтика может быть несколько адресов.
не совсем, ваш вариант тоже помог. Спасибо, но чтоб сеть даже и пакеты не отсылала на 192.168.0.1 мне пришлось добавить еще
2 chain=forward action=drop src-address-list=Wi-Fi dst-address-list=LAN
3 chain=forward action=drop src-address-list=LAN dst-address-list=Wi-Fi
и после этого уже и пакеты перестали посылать запрос на этот ИП 192.168.0.1
-
podarok66
- Модератор
- Сообщения: 4278
- Зарегистрирован: 11 фев 2012, 18:49
- Откуда: МО
04 янв 2013, 21:07
Все прочитал, и опять недопонял. В самом начале темы есть фраза, что для chain нужно применить параметр forward. А потом вы оба опять оперируете параметром input. Почему, позвольте спросить? Вроде бы надо сети изолировать, это же "проходящий" трафик, тот, что forward. Поясните, будьте любезны...
Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
-
dkarapetian
- Сообщения: 0
- Зарегистрирован: 03 янв 2013, 19:48
04 янв 2013, 22:11
podarok66 писал(а):Все прочитал, и опять недопонял. В самом начале темы есть фраза, что для chain нужно применить параметр forward. А потом вы оба опять оперируете параметром input. Почему, позвольте спросить? Вроде бы надо сети изолировать, это же "проходящий" трафик, тот, что forward. Поясните, будьте любезны...
так у меня же было написано почему.....
причина того что я то что хотел не работало
-
simpl3x
- Модератор
- Сообщения: 1532
- Зарегистрирован: 19 апр 2012, 14:03
05 янв 2013, 02:41
Все просто, когда задача стоит в изоляции двух сетей друг от друга, то это попадает под forward, если вам необходимо изолировать мтик от какой то из сетей, то это input. Если вы изолировали forward'ом две сети, то одна сеть будет видеть ip адрес мтика из другой, чтобы этого избежать, то нужно добавить к форварду еще и input. Собственно в этой истории так и было
-
dkarapetian
- Сообщения: 0
- Зарегистрирован: 03 янв 2013, 19:48
05 янв 2013, 10:00
simpl3x писал(а):Все просто, когда задача стоит в изоляции двух сетей друг от друга, то это попадает под forward, если вам необходимо изолировать мтик от какой то из сетей, то это input. Если вы изолировали forward'ом две сети, то одна сеть будет видеть ip адрес мтика из другой, чтобы этого избежать, то нужно добавить к форварду еще и input. Собственно в этой истории так и было
Все верно!!!!!
задача в этом и стояла! Спасибо еще раз!
-
podarok66
- Модератор
- Сообщения: 4278
- Зарегистрирован: 11 фев 2012, 18:49
- Откуда: МО
05 янв 2013, 10:34
Премного благодарен, как хорошо Вы все расписали. Все стало намного яснее.
Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
