Меня изумляет ваше не желание разбираться в вопросе. От этого помогать вам желания нет
7 X chain=forward action=accept src-address-list=IP_GOOD
28 X chain=forward action=drop
ну давайте разбирать
И так с некого адреса с наружи из IP_GOOD свалилась сессия, 7-е правило отработало и пропустило его на форварде - микротик прокинул это до внутреннего сетевого устройства - устройство посылает ответ - 7 правило мимо и срабатывает 28 правило
Судя по помойке у вас в фаерволе вы тыкаете пальцем в небо абсолютно не понимая чего и как
Почитайте хотя бы что такое инпут, форвард, аутпут
Как ограничить диапазоны адресов для входящих запросов?
-
vqd
- Модератор
- Сообщения: 3600
- Зарегистрирован: 26 сен 2013, 14:20
- Откуда: НСК
- Контактная информация:
-
DES
- Сообщения: 91
- Зарегистрирован: 08 авг 2013, 21:12
ну почему 7 правило пропустило, а до 8 дело не дошло ?
я подразумевал что выполняется список сверху-вниз и если правило запрещает что-то, то нижние не тестируются.
до сих пор срабатывало 8 правило и далее, как только включаю 7 - то 7 срабатывает, но 8 и далее не проверяются.
Почему так ?
я подразумевал что выполняется список сверху-вниз и если правило запрещает что-то, то нижние не тестируются.
до сих пор срабатывало 8 правило и далее, как только включаю 7 - то 7 срабатывает, но 8 и далее не проверяются.
Почему так ?
RB750UP with Firmware:3.19 && RouterOS:6.23
-
vqd
- Модератор
- Сообщения: 3600
- Зарегистрирован: 26 сен 2013, 14:20
- Откуда: НСК
- Контактная информация:
Потому что это логика работы фильтров в ЛЮБОМ фаерволе
Правила обрабатываются с нулевого и дальше, обработка прекращается если сработало правило
Правила обрабатываются с нулевого и дальше, обработка прекращается если сработало правило
Есть интересная задача и бюджет? http://mikrotik.site
-
vqd
- Модератор
- Сообщения: 3600
- Зарегистрирован: 26 сен 2013, 14:20
- Откуда: НСК
- Контактная информация:
Например
1 правило - разрешить все на форварде
2 правило убить все на форварде
2 никогда не сработает т.к. его первое перекрывает и на нем обработка останавливается, если же вы их местами поменяете то у вас все упадет т.к. будет дроп отрабатывать. Но при этом input будет прекрасно себя чувствовать. По сути инета в сети у вас не будет но на микротик вы спокойно попадете и даже сервисы работать будут
В общем идите читайте книжки
1 правило - разрешить все на форварде
2 правило убить все на форварде
2 никогда не сработает т.к. его первое перекрывает и на нем обработка останавливается, если же вы их местами поменяете то у вас все упадет т.к. будет дроп отрабатывать. Но при этом input будет прекрасно себя чувствовать. По сути инета в сети у вас не будет но на микротик вы спокойно попадете и даже сервисы работать будут
В общем идите читайте книжки
Есть интересная задача и бюджет? http://mikrotik.site
-
DES
- Сообщения: 91
- Зарегистрирован: 08 авг 2013, 21:12
как сделать так чтобы правило принимало и диапазоны адресов и перенаправляло на внутренние адреса?
RB750UP with Firmware:3.19 && RouterOS:6.23
-
vqd
- Модератор
- Сообщения: 3600
- Зарегистрирован: 26 сен 2013, 14:20
- Откуда: НСК
- Контактная информация:
как как, руками
Диапазон указывается через дефис
Диапазон указывается через дефис
Есть интересная задача и бюджет? http://mikrotik.site
-
DES
- Сообщения: 91
- Зарегистрирован: 08 авг 2013, 21:12
приведите пример пжлста.
RB750UP with Firmware:3.19 && RouterOS:6.23
-
vqd
- Модератор
- Сообщения: 3600
- Зарегистрирован: 26 сен 2013, 14:20
- Откуда: НСК
- Контактная информация:
-
podarok66
- Модератор
- Сообщения: 4402
- Зарегистрирован: 11 фев 2012, 18:49
- Откуда: МО
Блииииин, да не понимает он, по ходу!
Ну было :
Сделать:
И все дела...Что-то типа разрешить прохождение пакетов от источника IP_GOOD и разрешить прохождение пакетов к назначению IP_GOOD. Все, что не разрешили - запрещаем.
Ну было :
Код: Выделить всё
chain=forward action=accept src-address-list=IP_GOOD
chain=forward action=dropСделать:
Код: Выделить всё
chain=forward action=accept src-address-list=IP_GOOD
chain=forward action=accept dst-address-list=IP_GOOD
chain=forward action=dropИ все дела...Что-то типа разрешить прохождение пакетов от источника IP_GOOD и разрешить прохождение пакетов к назначению IP_GOOD. Все, что не разрешили - запрещаем.
Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
-
DES
- Сообщения: 91
- Зарегистрирован: 08 авг 2013, 21:12
только что тут утверждали что если сработает верхние правило то все нижние не имеют значения.
т.е. если сработает ваше chain=forward action=accept src-address-list=IP_GOOD
то наличие
chain=forward action=accept dst-address-list=IP_GOOD
chain=forward action=drop
не имеет смысла.
Или не так?
т.е. если сработает ваше chain=forward action=accept src-address-list=IP_GOOD
то наличие
chain=forward action=accept dst-address-list=IP_GOOD
chain=forward action=drop
не имеет смысла.
Или не так?
RB750UP with Firmware:3.19 && RouterOS:6.23