Germanus Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору   Предыдущие части темы: часть 1, часть 2, часть 3, часть 4 Официальный сайт: https://mikrotik.com   Данная тема создана для обмена информацией по вопросам и проблемам настройки MikroTik RouterOS Тема в варезнике   актуальные версии RouterOS: Stable: 7.14.3 Подробнее... Testing: 7.15rc2 Stable: 6.49.14 Long-term: 6.49.13 актуальная версия SwitchOS: 2.17 актуальная версия WinBox: 3.40 32/64-bit Подробнее...   Mikrotik — Плюсы и минусы Подробнее... Видео-экскурсия по заводу Mikrotik Ltd FAQ по особенностям и тонкостям MikroTik RouterOS  Перейти Официальная документация: Англоязычный ОФИЦИАЛЬНЫЙ мануал Алфавитный указатель Официальные статьи пользователей RouterOS для версии 3.х http://www.mikrotik.com/testdocs/ros/3.0/ для версии 2.9.х http://www.mikrotik.com/docs/ros/2.9/ RouterOS Packet Flow: http://wiki.mikrotik.com/wiki/Packet_Flow (важно знать для понимания сути происходящего в файрволе и шейпере) Совместимое оборудование Описание изменений в новых версиях RouterOS(+rc) RouterBOOT changelog (изменения в boot-версиях загрузчика RouterOS) Система управления пользователями встроенная в RouterOS (RADIUS server) l7-protos.rsc (примеры L7-filter) Официальные ресурсы: Форум Демо-сайт с веб-интерфейсом системы №1        Подробнее... Демо-сайт с веб-интерфейсом системы №2        Подробнее... MikroTik User Meeting(Конференции пользователей Mikrotik)        Подробнее... "Хардварные решения" MikroTik News MikroTik related video service DESIGNS.MIKROTIK.COM - сервис для брендирования продукции Mikrotik. Twitter Mikrotik MikroTik Training (Хочешь на тренинг? Получить сертификат?) Предыдущие версии RouterOS Подробнее...    История релизов  Подробнее... Mikrotik Wireless Link Calculator Неофициальная русскоязычная документация    Перейти Обсуждение ROS(форумы)    Перейти Обзоры продуктов RouterBOARD    Перейти Русскоязычные ресурсы интернет-магазинов и блоггеров по настройке и тонкостям Mikrotik:     Mikrotik Ukraine   lanmart.ru   Блог podarok66   technotrade.com.ua     forum.mikrotik.by   slagovskiy.blogspot.com   sibirskiy.blogspot.com   mstream.com.ua     pvsm.ru   ...   axiom-pro.ru   arxont.blogspot.com   habrahabr.ru     ixnfo.com   wel.org.ua   aboutmikrotik.info   papa-admin.ru     netair.by   notme.org.ua   forummikrotik.ru   asp24.com.ua Смежные ресурсы    Перейти   VPN + OSPF в картинках. MikroTik Config Parser mikrotik.vetriks.ru // текущий бэкап шапки.. Всего записей: 4420 | Зарегистр. 08-06-2003 | Отправлено: 11:02 07-03-2019 | Исправлено: alexnov66, 10:50 25-04-2024

Chupaka Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Paromshick Цитата: Все порты, кроме разрешённых закрыты Значит, надо открыть. Включить ftp в Service Ports и сделать accept для connection-state=related.   YuraseK Цитата: в разделе Switch > Rule А какие вы пакеты хотите там перехватывать? Нельзя ли Switch вообще не использовать? Всего записей: 3719 | Зарегистр. 05-05-2006 | Отправлено: 16:10 19-03-2020

Paromshick Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Chupaka Цитата: Значит, надо открыть. Не подходит. Схема такая - все порты, кроме разрешённых - закрыты. По итогам фильтрации интернета через серое вещество нарисовалось интересное решение, но без конкретики, выраженной в коде Клиент устанавливает подключение на 21 порт, и когда состояние становится established микрот открывает этому конкретному клиенту все порты. Когда подключение закрывается - закрывается и дырка. Остальные - ещё хуже Это можно реализовать как-то? ---------- Скучно Всего записей: 3019 | Зарегистр. 12-04-2013 | Отправлено: 13:30 20-03-2020

fly_indiz Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Paromshick это и делает дефолтное правило вверху цепочки forward: Код: /ip firewall filter add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked   о чем Chupaka выше и написал: Цитата: сделать accept для connection-state=related зачем придумывать велосипед? Всего записей: 2620 | Зарегистр. 28-04-2006 | Отправлено: 16:01 20-03-2020 | Исправлено: fly_indiz, 16:03 20-03-2020

Chupaka Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Paromshick Вам мало той конкретики, которую я написал? У вас включен ftp в Service Ports? Всего записей: 3719 | Зарегистр. 05-05-2006 | Отправлено: 16:36 20-03-2020

fly_indiz Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Chupaka Ну для юзания локальными клиентами фтп-серверов в интернете - хелпер ftp особо не нужен, и без него работать будет. В случае паромщика - главный момент все-же пропуск related, который он или не создавал, или удалил, или заглушил вышестоящими в forward правилами. Всего записей: 2620 | Зарегистр. 28-04-2006 | Отправлено: 16:53 20-03-2020

Chupaka Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору fly_indiz Ну, хелпер в первую очередь нужен для режима active и NAT'а, в пассиве всё из коробки работает. А вот если строгая политика - тогда может спасти Всего записей: 3719 | Зарегистр. 05-05-2006 | Отправлено: 17:05 20-03-2020

Paromshick Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Chupaka fly_indiz Да какая "коробка". Всё юзано переюзано. Тем не менее Цитата: ip firewall filter print 0 chain=forward action=drop src-address-list=STOPINET out-interface=wan log=no log-prefix=""   1 chain=forward action=accept connection-state=established log=no log-prefix=""   2 chain=forward action=accept connection-state=related   Далее идут разные правила, разрешающие выходы по определённым портам.... ну, 21, 80, 443 Затем drop. На ftp://ftp.hp.com - не попадаю. Открываю все порты для себя - естественно всё ОК. Chupaka Цитата: Вам мало той конкретики, которую я написал? Да я вроде бы тоже написал, что открывание всех портов не подходит бай этика корпорейт А без этого как-то не работает.   Добавлено: Цитата: У вас включен ftp в Service Ports? Если имеется в виду ip service то да. ftp 21 включен     Добавлено: Нашел. Эврика. Проверял в свободное, то есть ночное время, а тут не всё так просто... Но к делу отношения не имеет. Вопрос снят. ---------- Скучно Всего записей: 3019 | Зарегистр. 12-04-2013 | Отправлено: 22:02 20-03-2020 | Исправлено: Paromshick, 22:03 20-03-2020

fly_indiz Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Paromshick ip services - это собственный ftp-сервер микротика, тоже к делу не имеет отношения. Chupaka говорил про ip firewall service ports - хелперы для разного трафика для корректного прохождения NAT-а   П.с. Цитата: 0 chain=forward action=drop src-address-list=STOPINET out-interface=wan log=no log-prefix="" Ну я так и думал. Зачем запрещающее правило находится выше чем пропуск established/related? Это делать неправильно. (да и зачем 2 правила для established/related, если это делается одним). Всего записей: 2620 | Зарегистр. 28-04-2006 | Отправлено: 23:54 20-03-2020 | Исправлено: fly_indiz, 00:44 21-03-2020

Paromshick Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору fly_indiz Цитата: Зачем запрещающее правило находится выше чем пропуск established/related? Оно из адрес листа фильтрует. Иногда надо по быстрому и навсегда сделать stop inet Оно не  влияет. Счётчики 0 Цитата: ip firewall service ports А вот это влияет. При отключении ftp 21 "страница не доступна".   Попутно вопрос о другом. Не знаете толковый мануал по теме: хочу связать микрот со стеком Cisco 3750, состоящим из двух коммутаторов. Соответственно, два провода, а со стороны Cisco это Etherchannel, лучше LACP. Надо настроить MikroTik. Вообще, он понимает это дело, стоит ли гуглить? ---------- Скучно Всего записей: 3019 | Зарегистр. 12-04-2013 | Отправлено: 07:39 21-03-2020

Paromshick Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору vertex4 Вопрос скорее в том, как микроту сказать, что вот эти два провода, это один провод, а на том конце LACP. Скажем, active Да, и на Cisco Цитата: port-channel load-balance src-dst-ip глобально. Чему это соответствует в Микротике?   Добавлено: Можно верить? http://steinkafer.blogspot.com/2016/06/cisco-mikrotik-etherchannel-bonding.html ---------- Скучно Всего записей: 3019 | Зарегистр. 12-04-2013 | Отправлено: 08:57 21-03-2020

fly_indiz Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Paromshick Соре, в цисках я ноль но надеюсь подучить ( Всего записей: 2620 | Зарегистр. 28-04-2006 | Отправлено: 10:38 21-03-2020

Accessor Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Коллеги, нужна помощь. Я тут заметил, что мой Микротик отправляет исходящие пакеты на один IP, который мне известен. Когда-то давно у меня был туда PPTP. В логах следующее Код:   14:31:05 firewall,info output: in: (unknown 0) out:ether5-KyivStar, proto TCP (SYN), 37.xxx.xxx.53.136:57568->94.xxx.xxx.202:80, len 60     Пачки пакетов по 6 штук, все идут на порт 80. Но проблема в том, что я перерыл весь роутер и не нашёл, кто бы мог отправлять пакеты. Ни netwatch, ни pptp уже нет. Я даже конфиг роутера экспортировал в текст и искал по тексту нужный мне dst IP. Как быть? Как еще выяснить, откуда возникают исходящие пакеты? Я даже снифил пакеты и ничего в них не обнаружил, что могло бы хоть как-то намекнуть. Всего записей: 2863 | Зарегистр. 31-10-2003 | Отправлено: 15:39 24-03-2020 | Исправлено: Accessor, 18:05 24-03-2020

Chupaka Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Accessor fetch туда тоже никакие скрипты не делают? Всего записей: 3719 | Зарегистр. 05-05-2006 | Отправлено: 15:43 24-03-2020

Accessor Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Отключил все задания в Планировщике, но пакеты продолжают отправляться Всего записей: 2863 | Зарегистр. 31-10-2003 | Отправлено: 18:28 24-03-2020

fly_indiz Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Accessor мб он чекает обновы? system auto upgrade не стоит? Всего записей: 2620 | Зарегистр. 28-04-2006 | Отправлено: 21:45 24-03-2020

Accessor Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Коллеги, это не autoupgrade. А проверить по имени домена не могу, т.к. IP динамический. Ладно, буду еще думать. Всем спасибо за помощь.   Добавлено: Я нашел. Искомый IP висит у меня в Certificate->CRL. Горит красным и имеет статус Dynamic и Invalid. Удалить не позволяет. Перезагрузка роутера также не удаляет эту динамическую запись. Как с ним быть? Откуда он её берёт? Всего записей: 2863 | Зарегистр. 31-10-2003 | Отправлено: 20:12 25-03-2020 | Исправлено: Accessor, 20:57 25-03-2020

fly_indiz Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Accessor семь бед - один резет ) Всего записей: 2620 | Зарегистр. 28-04-2006 | Отправлено: 21:15 25-03-2020

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » MikroTik RouterOS (часть 5)

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование