Настройка Firewall на Mikrotik MB951Ui

Обсуждение оборудования и его настройки
Ответить
dizzy
Сообщения: 20
Зарегистрирован: 18 ноя 2013, 18:24

Denitornado писал(а):пока не очень понятно, как настроить фильтрацию по MAC, чтобы к моему WIFI могли подключаться только указанные MAC адреса.
Я посмотрел, в настройке Interface-WLAN1 в его свойствах, есть вкладки Access address List и Access Connection List, чем отличаются пока не понял, но ни тот ни другой не помог, все равно подключаются любые устройства к WIFI.

1. В настройках Wireless Tables добавляешь в Access List нужные MAC-адреса, которым нужен доступ.
2. В настройках wlan-интерфейса в закладке Wireless убираешь галку "Default Authenticate" (при снятии галки начинает работать Access List).


Вернуться к началу
Denitornado
Сообщения: 47
Зарегистрирован: 11 апр 2014, 08:18

podarok66 писал(а):
Denitornado писал(а):Для чего это делается?

В основном, для того, чтобы можно было упорядочивать правила по своему усмотрению. С каждой цепочкой можно работать в отдельности, не затрагивая остальной поток.
Я, если честно, не создаю, мне хватает трёх основных. Но у меня и правил минимум. Для домашнего роутера много и не надо.
Вот провайдерские железки могут испытывать нагрузку в сотни правил и там проще работать с дополнительными цепочками.


А могли бы Вы привести сюда свои правила для сравнения. У меня все равно, такое чувство, что я что-то где то упускаю, а сегодня вечером, домой приду с работы, и предоставлю свои правила, которые я создал при помощи GUID интерфейса RouterOS.

Например в плане защиты внутренней сети, у меня прописано правило chain=forward connection state=invalid action=drop. Но этим правилом, как я понимаю, я отсекаю только какие-то ошибочные соединения (К стати после этого правила, у меня перестали вываливаться события в Каспере о атаках типа Ddos Syn.... :ti_pa: ). Может я чего-то еще чего забыл закрыть?

А самым нижним правилом у меня идет chain=input action=drop - при этом интерфейс я не указываю, в моем случае WAN. Или его надо бы указать правилу, чтобы роутер понял откуда не принимать ни чего, т.е из вне - WAN! Верно ли высказывание? :du_ma_et:
Спасибо!


Вернуться к началу
Аватара пользователя
podarok66
Модератор
Сообщения: 4402
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

https://www.google.ru/#newwindow=1&q=mi ... asic+rules


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
Вернуться к началу
Denitornado
Сообщения: 47
Зарегистрирован: 11 апр 2014, 08:18

Спасибо, информации и так хватает, той что накачал по этой теме искать умею.
Но читая все что есть, все таки есть непонимание в этом месте, по поводу вот этого правила из документации:

Почти везде в инете где говорят о правилах для фаервола Микротик, есть такое правило

ip firewall filter add chain=forward connection-state=established action=accept comment "Alow established connection"

Я правильно понимаю, что в этом правиле речь идет, о том, чтобы пропускать транзитные пакеты со статусом "установленное соединение", а не то чтобы добавить в правило, все то что имеет уже на текущий момент в Винде соединение с внешним миром, к примеру ICQ, Mail Agent, Браузер (80 порт) ну и т.п. А то вначале из-за непонимания была такая мысль что это правило "посмотрит", что сейчас имеет коннект с инетом и добавит в правило все используемые порты и протоколы.

Ну я правильно понял, что это не так, а речь идет о соединение Established?


Вернуться к началу
Ответить

Вернуться в «MikroTik RouterBOARD»