Страница 1 из 2
При добавлении forward drop, перестает работать интернет.
Добавлено: 24 ноя 2013, 09:30
voler
Вот такие правила сейчас:
Код: Выделить всё
0 chain=input action=accept protocol=tcp dst-port=80,443,8291,2010
1 chain=input action=accept protocol=icmp
2 chain=input action=accept protocol=udp port=53
3 chain=input action=drop
4 chain=output action=accept
6 ;;; 55
chain=forward action=accept src-address=192.168.6.11 dst-address=0.0.0.0/0 src-mac-address=00:19:5B:86:3B:B7
7 ;;; 128
chain=forward action=accept src-address=192.168.6.16 dst-address=0.0.0.0/0 src-mac-address=B8:72:F5:BE:6A:50
8 ;;; 231
chain=forward action=accept src-address=192.168.6.3 dst-address=0.0.0.0/0 src-mac-address=BC:AE:C5:94:FA:EC
9 ;;; 242
chain=forward action=accept src-address=192.168.6.12 dst-address=0.0.0.0/0 src-mac-address=F0:7D:68:91:57:4D
Если я добавляю вот, такое правило
chain=forward action=drop
Самым последним, то перестает работать интернет у всех. Хотя есть выше стоящие правила разрешающие. Подскажите что делаю не так, может нужно более подробно описать правила?
Re: При добавлении forward drop, перестает работать интернет
Добавлено: 24 ноя 2013, 12:36
carassin
вот это должно помочь
chain=forward action=accept connection-state=established
chain=forward action=accept connection-state=related
они должны стоят до drop
Re: При добавлении forward drop, перестает работать интернет
Добавлено: 25 ноя 2013, 20:02
voler
carassin писал(а):вот это должно помочь
chain=forward action=accept connection-state=established
chain=forward action=accept connection-state=related
они должны стоят до drop
При добавлении этих правил, в первую из выше приведенных поподает слишком большое кол-во пакетов. А моих правилах, кол-во пакетов уменьшается.
В Линуксе можно на цепочку FORWARD ставить политику по умолчанию DROP
А как сделать аналогичное правило в микротике?
Re: При добавлении forward drop, перестает работать интернет
Добавлено: 25 ноя 2013, 20:07
vqd
А почему инет то не должен пропасть? Вы начинаете резать все ответы на запросы из внутренней сети.
Юзверь набрал vk.com , запрос на контактик ушел, контактик ответил а микротик не пустил.
Re: При добавлении forward drop, перестает работать интернет
Добавлено: 25 ноя 2013, 20:18
voler
Ну в принципе проверить, можно просто привык писать DROP, а потом явно разрешающие правила.
Re: При добавлении forward drop, перестает работать интернет
Добавлено: 25 ноя 2013, 20:30
vqd
Так нет же
Сначала заводим разрешения, остаток дропаем.
По принципу запретить все что не разрешено.
А ежели в начало дроп воткнуть то на нем обработка и остановится.
Два правила
Input - drop
Forward - drop
И все, ни кто не подберется, даже админ. (к слову сказать это моё посвещение в микротик было, хорошо что на платформе сериал был, 2 часа убил что бы собрать нульмодемный кабель и найти пк с ком портом)
Re: При добавлении forward drop, перестает работать интернет
Добавлено: 25 ноя 2013, 20:40
podarok66
Принцип фаервола на микротике один - всё, что не запрещено, разрешено. То есть изначально разрешено всё. Правила выполняются по порядку от верхнего (0 по номеру) к нижнему (последний номер в списке правил). То есть, если Вы последним правилом запретили, то перед этим правилом должно стоять то, которое разрешает чему-то проходить. Например:
Код: Выделить всё
/ip firewall filter add chain=forward dst-address-list=”Pervyi_spisok” action=accept
/ip firewall filter add chain=forward src-address=”Pervyi_spisok” action=accept
/ip firewall filter add chain=forward action=drop
Первые два правила разрешают хождение всего трафика для адрес-листа ”Pervyi_spisok”, последнее запрещает весь трафик для остальных.
Re: При добавлении forward drop, перестает работать интернет
Добавлено: 17 янв 2014, 15:51
duronus
carassin писал(а):
вот это должно помочь
chain=forward action=accept connection-state=established
chain=forward action=accept connection-state=related
они должны стоят до drop
Кстати говоря у меня тоже самое, на дефолтных настройках все работает, но стоит руками удалить последнее дроп и создать его опять, как половина трафика отваливается ( это заметно на некоторых сайтах)
Re: При добавлении forward drop, перестает работать интернет
Добавлено: 17 янв 2014, 16:15
vqd
Вы с какой целью поднимаете давно забытые темы?
Re: При добавлении forward drop, перестает работать интернет
Добавлено: 23 янв 2014, 16:00
duronus
тоесть? с какой целью? по вашему я должен был создать новую тему?
Я оставил свой комментарий в данной теме потому что счел его уместным (вдруг люди которые эту тему обсуждали нашли какие нибудь грабли).
p.s.: А разве правила запрещают поднимать старые темы?