Инверсия сразу двух критериев

Обсуждение ПО и его настройки
Ответить
rstaganrog
Сообщения: 24
Зарегистрирован: 26 май 2013, 19:02

29 май 2013, 10:39

Нужно выделить не-ViPNet-трафик с адреса 192.168.1.2 на Микротик. ViPNet-трафик - это всё что проходит по UDP:55777. Следовательно мне нужен критерий-инверсия.

Создаю правило:

Код: Выделить всё

/ip firewall filter add chain=forward action=add-dst-to-address-list protocol=udp src-address=192.168.1.2 address-list=not-ViPNet src-port=!55777


В итоге в списке адресов not-ViPNet фиксируются только dst-адреса для UDP-трафика по порту не равному 55777. Практически это лишь DNS-запросы, работающие по UDP. Весь прочий, в частности TCP-трафик, не фиксируется никак.

Другими словами, срабатывает критерий: udp and !55777.

Можно ли задать правило полной инверсии ViPNet-трафика:
!(udp and 55777)
?


Аватара пользователя
podarok66
Модератор
Сообщения: 4046
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

29 май 2013, 15:09

А может Вам сначала выделить трафик udp с порта 55777, а следующим правилом весь трафик кроме выделенного отправить в нужный адрес-лист?


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
rstaganrog
Сообщения: 24
Зарегистрирован: 26 май 2013, 19:02

29 май 2013, 20:30

podarok66 писал(а):А может Вам сначала выделить трафик udp с порта 55777, а следующим правилом весь трафик кроме выделенного отправить в нужный адрес-лист?

Да, в конце концов, так и сделал:

Код: Выделить всё

/ip firewall mangle add chain=forward action=mark-packet new-packet-mark=vipnet         passthrough=no protocol=udp src-port=55777  
/ip firewall filter add chain=forward action=add-dst-to-address-list address-list=not-vipnet     src-address=192.168.1.2 packet-mark=!vipnet

Только вот возник вопрос - можно ли в нашем случае маркировать соединения, а не пакеты? Или соединения нельзя, потому, что не все протоколы имеют понятие соединения, udp, в частности? А нас интересует весь трафик, кроме udp:55777.


Аватара пользователя
podarok66
Модератор
Сообщения: 4046
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

29 май 2013, 20:53

Вот чес слово, не могу ответить. Мне столь тонкие материи неизвестны даже. Модератор придет, ответит, он в этом ориентируется весьма профессионально.


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
Ответить