Настройки firewall Mikrotik RB751G - 2HnD

Обсуждение оборудования и его настройки
Hormiga
Сообщения: 2
Зарегистрирован: 02 фев 2013, 07:06

02 фев 2013, 07:21

Добрый день.
Дома имеется сабж, работал прекрасно, пока в один прекрасный день провайдер не решил, что PPTP - отличная идея, теперь вот мучаюсь с настройкой.
Суть в следующем: PPTP настроил, галочку "Add Default Route" поставил, "Dial On Demand" - нет. Результат: PPTP подключается, маршрут создается. Проблема в том, что маршрут создается такой же, как и на Default-gateway, и не встает в состояние Active, т.е. если, например, используя утилиту Ping установить Src. Address на адрес vpn, то работает, по умолчанию - нет.

Код: Выделить всё

[admin@MikroTik] > ip route print 
Flags: X - disabled, A - active, D - dynamic,
C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme,
B - blackhole, U - unreachable, P - prohibit
 #      DST-ADDRESS        PREF-SRC        GATEWAY            DISTANCE
 0 A S  0.0.0.0/0                          10.10.146.1               1
 1  DS  0.0.0.0/0                          172.16.1.1                1
 2 ADC  10.10.146.0/24     10.10.146.29    ether1-gateway            0
 3 ADC  172.16.1.1/32      172.16.146.29   VPN BigTelecom            0
 4 ADC  192.168.88.0/24    192.168.88.1    bridge-local              0

с distance играться пробовал - не помогло. Описанное в начале с Nat сделал - тоже не помогло:

Код: Выделить всё

[admin@MikroTik] > ip firewall nat print
Flags: X - disabled, I - invalid, D - dynamic
 0   ;;; default configuration
     chain=srcnat action=masquerade to-addresses=0.0.0.0
     out-interface=VPN

Что еще можно попробовать?


Hormiga
Сообщения: 2
Зарегистрирован: 02 фев 2013, 07:06

03 фев 2013, 13:27

Решено переписыванием таблицы маршрутизации.
Теперь выглядит так:

Код: Выделить всё

[admin@MikroTik] > ip route print 
Flags: X - disabled, A - active, D - dynamic,
C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme,
B - blackhole, U - unreachable, P - prohibit
 #      DST-ADDRESS        PREF-SRC        GATEWAY            DISTANCE
 0 ADS  0.0.0.0/0                          172.16.1.1                1
 1 A S  10.10.0.0/16                       10.10.146.1               1
 2 ADC  10.10.146.0/24     10.10.146.29    ether1-gateway            0
 3 A S  <IP-адрес VPN-сервера>             10.10.146.1               1
 4 ADC  172.16.1.1/32      172.16.146.29   VPN BigTelecom            0
 5 ADC  192.168.88.0/24    192.168.88.1    bridge-local              0


fanat
Сообщения: 35
Зарегистрирован: 21 дек 2011, 10:30

03 май 2013, 21:11

Всем привет!
Прошу помочь знающих (simpl3x я уже сказал спасибо за теорию на наге).
Необходим скрипт который бы планировщиком вырубал определенный ip адрес к примеру 192.168.88.4 в firewall Mikrotik, находящийся в адрес листе с именем user
Ума хватило только на такой скрипт /ip firewall address-list add address=192.168.88.4 disabled=yes list=user
Данный скрипт работает, но он не выключает рабочий 192.168.88.4, а добавляет не активный 192.168.88.4 в адрес лист user


Аватара пользователя
podarok66
Модератор
Сообщения: 3882
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

03 май 2013, 22:07

Вы, по-моему, в корне неверно все поняли. disabled=yes - это вы неактивную запись в адрес-листе создаёте. Зачем? В добавьте нужные Вам адреса в отдельный адрес-лист, а потом дропайте именно трафик с этого адрес-листа.

Код: Выделить всё

/ip firewall address-list add address=192.168.88.4 disabled=no list=drop_user

Код: Выделить всё

/ip firewall filter add action=drop chain=forward protocol=tcp out-interface="ВАШ_ИНТЕРФЕЙС_WAN" src-address-list=drop_user

Запрещающее правило поднять выше разрешающих. У любого адреса, попадающего в этот адрес-лист, режутся исходящие пакеты, следовательно с него уже в инет не попадешь. А вот насчет шедулера, а вы подумали, что клиентов из адрес-листа еще и удалять надо? Или тоже скрипт писать будете?


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
Аватара пользователя
simpl3x
Модератор
Сообщения: 1532
Зарегистрирован: 19 апр 2012, 14:03

04 май 2013, 02:24

fanat писал(а):Всем привет!
Прошу помочь знающих (simpl3x я уже сказал спасибо за теорию на наге).
Необходим скрипт который бы планировщиком вырубал определенный ip адрес к примеру 192.168.88.4 в firewall Mikrotik, находящийся в адрес листе с именем user
Ума хватило только на такой скрипт /ip firewall address-list add address=192.168.88.4 disabled=yes list=user
Данный скрипт работает, но он не выключает рабочий 192.168.88.4, а добавляет не активный 192.168.88.4 в адрес лист user

какой ros у вас? я ради спортивного интереса проверял на 5.24 у меня работает тот скрипт с нага. и как вы его запускаете?


fanat
Сообщения: 35
Зарегистрирован: 21 дек 2011, 10:30

04 май 2013, 05:40

simpl3x писал(а):
fanat писал(а):Всем привет!
Прошу помочь знающих (simpl3x я уже сказал спасибо за теорию на наге).
Необходим скрипт который бы планировщиком вырубал определенный ip адрес к примеру 192.168.88.4 в firewall Mikrotik, находящийся в адрес листе с именем user
Ума хватило только на такой скрипт /ip firewall address-list add address=192.168.88.4 disabled=yes list=user
Данный скрипт работает, но он не выключает рабочий 192.168.88.4, а добавляет не активный 192.168.88.4 в адрес лист user

какой ros у вас? я ради спортивного интереса проверял на 5.24 у меня работает тот скрипт с нага. и как вы его запускаете?


951G-2HnD прошит 5.24
Запускаю скрипт так, открываю планировщик, добавляю новое действие по расписанию и вставляю строчку скрипта
Например вот рабочие и действующие:
/sys reboot - делаю ежедневную перезагрузку в 06.00
/interface disable wlan1 - выключаю wi fi в 23.00
/interface enable wlan1 - включаю wi fi в 07.00

2 podarok66
Мне надо именно просто вырубить планировщиком ип адрес в листе.
Схема у меня такая, поднят дшсп на микротике, юзеры получают ип адреса и привязаны по ип+мак, создан лист в котором указаны ип адреса всех кому дать инет, все остальные идут на переделанную страничку вебсервера микротика и получают информационный текст.


Аватара пользователя
simpl3x
Модератор
Сообщения: 1532
Зарегистрирован: 19 апр 2012, 14:03

04 май 2013, 12:26

странно конечно, у меня такие задачи заставляют "моргать" адрес в списке фаервола.

Код: Выделить всё

[admin@internet-hub] > system scheduler export 
# may/04/2013 13:23:00 by RouterOS 5.24
#
/system scheduler
add disabled=no interval=10s name=schedule1 on-event="ip firewall address-list\
    \_enable [/ip firewall address-list find list=1212 address=1.1.1.1]" \
    policy=\
    ftp,reboot,read,write,policy,test,winbox,password,sniff,sensitive,api \
    start-date=may/04/2013 start-time=09:04:53
add disabled=no interval=10s name=schedule2 on-event="ip firewall address-list\
    \_disable [/ip firewall address-list find list=1212 address=1.1.1.1]" \
    policy=\
    ftp,reboot,read,write,policy,test,winbox,password,sniff,sensitive,api \
    start-date=may/04/2013 start-time=09:05:39


fanat
Сообщения: 35
Зарегистрирован: 21 дек 2011, 10:30

06 май 2013, 07:47

Добавлю скрин планировщика, может я не так объяснил, задачи по прежнему те же, посредством планировщика микротик вырубать по расписанию определенный адрес из адрес листа фаервола
Изображение
Данные:
Железо - 951G-2HnD прошит 5.24
название address lista - user
ip address для выключения планировщиком - 192.168.88.4

На данный момент строка выглядит так:
/ip firewall address-list disable [/ip firewall address-list find list= user address=169.168.88.4]

Не работает.

[img][IMG]http://s53.radikal.ru/i141/1305/9d/a105fa7dd356t.jpg[/img][/img]


Аватара пользователя
simpl3x
Модератор
Сообщения: 1532
Зарегистрирован: 19 апр 2012, 14:03

06 май 2013, 07:59

list= user - так у вас же там пробел, может быть в нем проблема?
попробуйте без планировщика, просто в терминале попробуйте запустить команду.


fanat
Сообщения: 35
Зарегистрирован: 21 дек 2011, 10:30

06 май 2013, 08:52

Пробел убрал (пробовал запускать на другом адрес листе, не дотер пробел), запуск делал и в терминале - не срабатывает строка.
Должна же работать, если у Вас работает.


Ответить