Russian Users MikroTik | Форум пользователей MikroTik

Здравствуйте.
RB941-2nD-TC. Оставил все по умолчанию, только настроил локалку.
И добавил правила файволла:
/ip firewall filter
add chain=forward dst-address=192.168.0.1 log=yes src-address=\
10.12.250.1-10.12.250.254
add action=drop chain=input dst-port=53 in-interface=bridge protocol=udp
add action=drop chain=forward dst-address=!188.188.188.1-188.188.188.14 \
in-interface=bridge log=yes src-address=10.12.250.1-10.12.250.254
Все работает нормально - из локалки девайсы имеют доступ только к
188.188.188.1-188.188.188.14. И 53 порт для них закрыт.
Тут пришла распечатка от спутникового провайдера и оказалось- намотало трафика
на левые IP 81.198.87.240 91.188.51.139 (порт 15252)
и на днс провайдера.
Хотя на стороне сп. оператора стоит еще дополнительный файрволл,по деньгам всеравно вышло плохо.
Оператор считает трафик в обе стороны (то бишь и до его файрволла).
Получается микротик живет сам по себе? Всю голову сломал себе.
Рашьше стоял другой роутер (не микротик), но такого небыло.
Подскажите пож. куда мне копать. Пока временно добавил правило:
запрещающее самому роутеру ходит на эти левые адреса ( output)

Это адреса Cloud Mikrotik, запретите их, если вам этот сервис не нужен, да и сервис можно выключить.

Спасибо.
Не подскажете как выключить этот сервис? А то десяток таких устройств редактирую удаленно и
любая ошибка может выйти боком. до некоторых устройств только вертолетом можно
добраться.
Нашел сам эту волшебную кнопку. Правда там стояла галка только =Update time=
Отключение ее решит проблему или все равно надо эти IP дропать?

Bootmen писал(а):Не подскажете как выключить этот сервис?

Но только если ИР статическое, тогда можно выключить.
К стати - этот сервис по умолчанию выключен.

/ip cloud set ddns-enabled=no

mafijs писал(а):

Bootmen писал(а):Не подскажете как выключить этот сервис?

Но только если ИР статическое, тогда можно выключить.
К стати - этот сервис по умолчанию выключен.

/ip cloud set ddns-enabled=no

Адрес статический только в сети провайдера. В инет соответственно попадаешь Натом.
В панели только включена = update time= Значит это не решит проблему?

Вопрос : зачем это правило "аdd action=drop chain=input dst-port=53 in-interface=bridge" на бридже ?
По идее должно быть на входном интерфейсе.

mafijs писал(а):Вопрос : зачем это правило "аdd action=drop chain=input dst-port=53 in-interface=bridge" на бридже ?
По идее должно быть на входном интерфейсе.

Чтобы устройства в локалке не использовали роутер как днс-релей.

Bootmen писал(а):Чтобы устройства в локалке не использовали роутер как днс-релей.

А не проще отключить сервис и порт который он слушает, тем более если это возможно, чем закрывать сервис?
Не нужен промежуточный/кеширующий ДНС на микротике, заходим в ДНС настройки и снимаем галочку.

Стоп. Мы экономим трафик, при этом запрещаем роутеру кешировать DNS записи? Это тупо...
При этом ещё и NTP клиент включен...

Как-то Вы не тактично подходите к вопросу экономии трафика.

Dragon_Knight писал(а):Стоп. Мы экономим трафик, при этом запрещаем роутеру кешировать DNS записи? Это тупо...
При этом ещё и NTP клиент включен...

Как-то Вы не тактично подходите к вопросу экономии трафика.

Как раз все логично:
Экономим трафик исключая ДНС-запросы (локалка работает только с IP)
И с чего вы взяли, что НТР клиент включен?