Russian Users MikroTik | Форум пользователей MikroTik

Denitornado писал(а):пока не очень понятно, как настроить фильтрацию по MAC, чтобы к моему WIFI могли подключаться только указанные MAC адреса.
Я посмотрел, в настройке Interface-WLAN1 в его свойствах, есть вкладки Access address List и Access Connection List, чем отличаются пока не понял, но ни тот ни другой не помог, все равно подключаются любые устройства к WIFI.

1. В настройках Wireless Tables добавляешь в Access List нужные MAC-адреса, которым нужен доступ.
2. В настройках wlan-интерфейса в закладке Wireless убираешь галку "Default Authenticate" (при снятии галки начинает работать Access List).

podarok66 писал(а):

Denitornado писал(а):Для чего это делается?

В основном, для того, чтобы можно было упорядочивать правила по своему усмотрению. С каждой цепочкой можно работать в отдельности, не затрагивая остальной поток.
Я, если честно, не создаю, мне хватает трёх основных. Но у меня и правил минимум. Для домашнего роутера много и не надо.
Вот провайдерские железки могут испытывать нагрузку в сотни правил и там проще работать с дополнительными цепочками.

А могли бы Вы привести сюда свои правила для сравнения. У меня все равно, такое чувство, что я что-то где то упускаю, а сегодня вечером, домой приду с работы, и предоставлю свои правила, которые я создал при помощи GUID интерфейса RouterOS.

Например в плане защиты внутренней сети, у меня прописано правило chain=forward connection state=invalid action=drop. Но этим правилом, как я понимаю, я отсекаю только какие-то ошибочные соединения (К стати после этого правила, у меня перестали вываливаться события в Каспере о атаках типа Ddos Syn.... ). Может я чего-то еще чего забыл закрыть?

А самым нижним правилом у меня идет chain=input action=drop - при этом интерфейс я не указываю, в моем случае WAN. Или его надо бы указать правилу, чтобы роутер понял откуда не принимать ни чего, т.е из вне - WAN! Верно ли высказывание?
Спасибо!

Спасибо, информации и так хватает, той что накачал по этой теме искать умею.
Но читая все что есть, все таки есть непонимание в этом месте, по поводу вот этого правила из документации:

Почти везде в инете где говорят о правилах для фаервола Микротик, есть такое правило

ip firewall filter add chain=forward connection-state=established action=accept comment "Alow established connection"

Я правильно понимаю, что в этом правиле речь идет, о том, чтобы пропускать транзитные пакеты со статусом "установленное соединение", а не то чтобы добавить в правило, все то что имеет уже на текущий момент в Винде соединение с внешним миром, к примеру ICQ, Mail Agent, Браузер (80 порт) ну и т.п. А то вначале из-за непонимания была такая мысль что это правило "посмотрит", что сейчас имеет коннект с инетом и добавит в правило все используемые порты и протоколы.

Ну я правильно понял, что это не так, а речь идет о соединение Established?