Здравствуйте.
Есть такой вопрос.
Есть сеть 172.
На мимкротике (МТ) стоит проброс на железяку в локальной сети.
Сама железяка регистрирует попытки вломится к ней с неправильными логин/паролями.
На МТ написано правило с chain=input, in.interface=ether1, src.Address List=BOGON, action=drop, BOGON=192.168.0.0/16 и др.
Не смотря на это с сети 192.168.х.х пытаются ломится на железяку за МТ.
Лог на МТ не пишет варнингов про эти попытки
Прошу помочь в следующем:
- как правильно написать правило в фаерволе, чтобы МТ не пропускал из вне вовнутрь, даже на открытые внутренние адреса, пакеты с внешних адресов, указанных в правиле.
- почему эти попытки не регистрируются в логе, ведь в правиле эти адреса указаны как запретные.
Спасибо
Вопрос по правилу фаервола
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
-
andreytem
- Сообщения: 3
- Зарегистрирован: 27 фев 2016, 18:55
Добавил правило, в котором input поменял на forward.
Посмотрим
Посмотрим
-
vqd
- Модератор
- Сообщения: 3600
- Зарегистрирован: 26 сен 2013, 14:20
- Откуда: НСК
- Контактная информация:
А он и так ничего в сеть не пропускает если вы не настроите обратное
А почиму он должен писать если вы соответсвующу опцию не включили
Почитайте в чем разница между инпут и форвард
А почиму он должен писать если вы соответсвующу опцию не включили
Почитайте в чем разница между инпут и форвард
Есть интересная задача и бюджет? http://mikrotik.site
-
andreytem
- Сообщения: 3
- Зарегистрирован: 27 фев 2016, 18:55
не помогло, подскажите, как правильно
-
andreytem
- Сообщения: 3
- Зарегистрирован: 27 фев 2016, 18:55
Здравствуйте.
Получены следующие результаты
- при просмотре пакетов в wireshark после packet sniffer, вижу, что в тот момент, когда железяка (DVR Hikvision) в своих логах показывает доступ к ней с адреса 192.168.х.х, на самом деле на самом деле заходит пакет с адреса, например 212.х.х.х. Соответственно, если я пишу правило, закрывающее форвард с адреса 212.х.х.х, доступ прекращается.
- обратился к нескольким товарищам, у которых адресное пространство лана 192.168.х.х и провел с ними эксперемент - все подтвердилось.
- тоже касается и адресов 10.х.х.х.
Адрес железяке, расположенной за натом отдает роутер. Соответственно именно он подменяет адрес 212.х.х.х на 192.168.х.х., который видит железяка и выдает его в своих логах.
Отсюда вопрос. Можно ли где либо в настройках роутера внести изменение, чтобы он отдавал потребителю адрес 212.х.х.х вместо того, чтобы отдавать 192.168.х.х.?
Получены следующие результаты
- при просмотре пакетов в wireshark после packet sniffer, вижу, что в тот момент, когда железяка (DVR Hikvision) в своих логах показывает доступ к ней с адреса 192.168.х.х, на самом деле на самом деле заходит пакет с адреса, например 212.х.х.х. Соответственно, если я пишу правило, закрывающее форвард с адреса 212.х.х.х, доступ прекращается.
- обратился к нескольким товарищам, у которых адресное пространство лана 192.168.х.х и провел с ними эксперемент - все подтвердилось.
- тоже касается и адресов 10.х.х.х.
Адрес железяке, расположенной за натом отдает роутер. Соответственно именно он подменяет адрес 212.х.х.х на 192.168.х.х., который видит железяка и выдает его в своих логах.
Отсюда вопрос. Можно ли где либо в настройках роутера внести изменение, чтобы он отдавал потребителю адрес 212.х.х.х вместо того, чтобы отдавать 192.168.х.х.?
-
vqd
- Модератор
- Сообщения: 3600
- Зарегистрирован: 26 сен 2013, 14:20
- Откуда: НСК
- Контактная информация:
-
andreytem
- Сообщения: 3
- Зарегистрирован: 27 фев 2016, 18:55
Спасибо, подскажите как, пожалуйста.
-
vqd
- Модератор
- Сообщения: 3600
- Зарегистрирован: 26 сен 2013, 14:20
- Откуда: НСК
- Контактная информация:
Заходите в НАТ, находите там правило соответствующее, дальше его либо правите, либо удаляете.
что бы удалить в винбоксе жмем значек "-"
что бы исправить жмем на нем пару раз и попадаем в свойства.
Можете аналогичные действия из консоли сделать, синтаксис там показывает
что бы удалить в винбоксе жмем значек "-"
что бы исправить жмем на нем пару раз и попадаем в свойства.
Можете аналогичные действия из консоли сделать, синтаксис там показывает
Есть интересная задача и бюджет? http://mikrotik.site
-
andreytem
- Сообщения: 3
- Зарегистрирован: 27 фев 2016, 18:55
Да, спасибо, с этим понятно.
Не понятно, где в настройках НАТа указать какой IP роутер должен отдавать ДВРке при наличии запроса на вход к ней из вне - внутренний или внешний (подробно писал выше).
Возможно я не совсем правильно описываю ситуацию - тогда прошу указать, что не верно пишу?
Не понятно, где в настройках НАТа указать какой IP роутер должен отдавать ДВРке при наличии запроса на вход к ней из вне - внутренний или внешний (подробно писал выше).
Возможно я не совсем правильно описываю ситуацию - тогда прошу указать, что не верно пишу?
-
vqd
- Модератор
- Сообщения: 3600
- Зарегистрирован: 26 сен 2013, 14:20
- Откуда: НСК
- Контактная информация:
Достаточно глаза чуть поднять и в шапке данной ветки прочитать правила. Выделено красным. Потом подумать и сделать выводы
Есть интересная задача и бюджет? http://mikrotik.site