Страница 1 из 1
Множество подсетей в одном address-list
Добавлено: 14 мар 2014, 11:20
plin2s
Пытайюсь сделать один большой address-list в котором будет очень много неугодных адресов, как одиночных, так и подсетей.
В вики написано, что можно поставлять адрес, диапозон адресов через тире и подсеть. Так же, если я все правильно понял, можно делать множество записей с одинаковым именем. Но сделать в одну строку перечисление подсетей нельзя.
Единственное, что пришло на ум - сделать скрипт, который будет сам брать строки из файла и по api посылать команды микротику.
Может я упустил какой-нибудь более простой вариант?
Re: Множество подсетей в одном address-list
Добавлено: 14 мар 2014, 11:37
vqd
Задача не понятна.
В адрес-лист задается имя адрес-листа (группа) и пишется значение в виде адреса, диапазона, сети.
Одна строчка соответствует одной записи
Re: Множество подсетей в одном address-list
Добавлено: 14 мар 2014, 12:02
plin2s
Распишу чуть подробнее. Есть большой список подсетей. Для примера вот такой
http://www.ipdeny.com/ipblocks/data/countries/cn.zone. По ходу будут появляться свои списки, которые будут переодически меняться.
Хочу его поместить в address-list с одним именем, чтобы использовать в правилах фаервола.
Можно делать до посинения
Код: Выделить всё
> /ip firewall address-list add list=china address=1.0.1.0/24
> /ip firewall address-list add list=china address=1.0.2.0/24
> /ip firewall address-list add list=china address=1.0.8.0/24
...
и потом использовать в правилах. Такой вариант мне более-менее приемлим, но не очень удобен в управлении списком.
Единственный вариант, который придумал - писать внешний скрипт, который будет опрашивать микротик и сверять все строки.
Может будут идеи как лучше это автоматизировать?
Re: Множество подсетей в одном address-list
Добавлено: 14 мар 2014, 12:16
vqd
Зачем внешний то, отличный список, его можно загрузить средствами микротика и сгенерировать на его основе аддресс-лист
Re: Множество подсетей в одном address-list
Добавлено: 14 мар 2014, 12:22
plin2s
Значит я таки что-то упустил. Какими внутренними средствами это лучше делать? Скриптовать внутри микротика?
Re: Множество подсетей в одном address-list
Добавлено: 14 мар 2014, 12:31
vqd
fetch - загружаем список в файлик
Дальше скриптом его парсим и генерируем адрес лист. Перед внесением записи в адрес лист проверяем совпадение записей
Re: Множество подсетей в одном address-list
Добавлено: 14 мар 2014, 12:34
plin2s
Ну, я думал делать то же самое, только из-вне. Хорошо, буду пробовать.
Просто мне кажется, что это будет весьма медленно и очень емко по ресурсам.
Re: Множество подсетей в одном address-list
Добавлено: 14 мар 2014, 12:38
vqd
да ну )) Вам же не каждую секунду надо . Раз в сутки достаточно эту операцию проводить. К тому же внешний скрипт когда будет генерировать адрес лист и встраивать его собственно те же ресурсы затребует от микротика
Re: Множество подсетей в одном address-list
Добавлено: 14 мар 2014, 12:45
plin2s
Зато операции сравнения будут происходить снаружи (а это основные "вычисления"). От микротика потребуется только отдать текущий конфиг и применить изменения.
Да и мне как-то bash/perl ближе. Хотя это будет хороший повод разобраться в языке микротиковских скриптов.
Re: Множество подсетей в одном address-list
Добавлено: 14 мар 2014, 12:54
vqd
У вас на каждый пук юзера микрот будет выверять адреса из списка.... Это более ресурсоемко нежели генерация листа скриптом