Russian Users MikroTik | Форум пользователей MikroTik

Форум поддержи и обмена опытом пользователей оборудования RouterBOARD и операционной системы RouterOS Латвийского производителя MikroTik
https://forummikrotik.ru/

Не работает сеть (не пингуется шлюз)

https://forummikrotik.ru/viewtopic.php?t=9616

Страница 3 из 3

Re: Не работает сеть (не пингуется шлюз)

Добавлено: 05 дек 2018, 04:25
Vlad-2
vladislav.granovskiy писал(а): 04 дек 2018, 21:09 Изображение
где он открыт для всех мне так и не понятно
Так я и прошу, не надо показывать скрины,что якобы всё закрыто, по скринам
с файрвола я не вижу закрытия, поэтому и прошу (чтобы и новички понимали) как у Вас сделано.
Покажите конфиг Вашего файрвола!! По скринам я не вижу как Вы защитились.....
(Сделайте экспорт правил в закладке Filter Rules, команда в консоле роутера: ip firewall filter export)
vladislav.granovskiy писал(а): 04 дек 2018, 21:09 Уважаемый ГУРУ теска, мне интересна подробнее ваша схема защиты 80 порта (скринами если можно)
Также, в этой теме же я показал и скрин как я делал домашнему пользователю защиту
(там и скрин и экспорт всех правил) (первое моё сообщение на второй страницы тему этой).
Куда ещё больше показать?

Логика простая: делаем анализ порта (через JAMP) для нужного списка/интерфейса,
дальше что-то разрешаем, запрещаем, логируем плохих, заносим их в адрес-лист,
если IP плохого на роутер снова попадёт, то доступа по всем портам не будет (на 24 часа).
Эта логика справедлива для любого порта (JAMP'ом делаем анализ нужного порта, всё
остальное (логирование, запрещение доступа) - делается одними и те же самыми наборами правил.

P.S.
Я Вам всё объяснил, надеюсь всё же Вы дадите ответ на первую часть моего сообщения.

Re: Не работает сеть (не пингуется шлюз)

Добавлено: 05 дек 2018, 19:25
vladislav.granovskiy

Код: Выделить всё

add action=drop chain=input comment="drop invalid connection" connection-state=\
    invalid
add action=accept chain=input comment="--------------------------\E4\EE\F1\F2\F3\
    \EF \EA \EC\E8\EA\F0\EE\F2\E8\EA\F3 \E8\E7 \E4\EE\EC\E0\F8\ED\E5\E9 \EF\EE\
    \E4\F1\E5\F2\E8-------------------" in-interface=bridge-local src-address=\
    192.168.1.1
add action=accept chain=input in-interface=bridge-local src-address=\
    192.168.1.0/24
add action=accept chain=input comment="--------------------\E4\EE\F1\F2\F3\EF \
    \EA \EC\E8\EA\F0\EE\F2\E8\EA\F3 \E8\E7 \E2\ED\E5----------------------------\
    ---" dst-port=80,3987,8291 protocol=tcp
add action=accept chain=input disabled=yes dst-port=3987 protocol=tcp
add action=accept chain=input disabled=yes dst-port=8291 protocol=tcp
add action=accept chain=input comment=------ICMP0------- icmp-options=0:0-255 \
    protocol=icmp
add action=accept chain=input comment=------PING------ icmp-options=8:0-255 \
    protocol=icmp
add action=accept chain=input comment=------DNS------ protocol=udp src-port=53
add action=accept chain=input protocol=tcp src-port=53
add action=accept chain=input comment="\EC\F3\EB\FC\F2\E8\EA\E0\F1\F2" \
    protocol=igmp
add action=accept chain=input dst-port=5000 protocol=udp
add action=accept chain=input comment=------VPN------- dst-port=1723 protocol=\
    tcp
add action=accept chain=input protocol=gre
add action=accept chain=input comment="VPN server" disabled=yes in-interface=\
    <pptp-test> src-address=192.168.2.0/24
add action=accept chain=input comment=\
    "\F1\E5\F0\E2\E5\F0 \E2\F0\E5\EC\E5\ED\E8" dst-port=37,123 protocol=udp
add action=log chain=input disabled=yes log-prefix=1
add action=drop chain=input comment=\
    "\E1\EB\EE\F7\E8\F2 \E2\F1\E5 \EE\F1\F2\E0\EB\FC\ED\EE\E5"
add action=drop chain=forward comment="drop invalid connection" \
    connection-state=invalid
Часовой пояс: UTC+03:00
Страница 3 из 3

Создано на основе phpBB® Forum Software © phpBB Limited

Русская поддержка phpBB