Russian Users MikroTik | Форум пользователей MikroTik

Здравствуйте!
Необходимо написать правило в firewall и указать доменное имя и порт. C ip-адресом все заработало.
А как указать доменное имя?

Предлагаю занести доменное имя в адрес-лист, а уж адрес-лист указать в правиле

Я так и сделал, но не работает. может, я что-то неправильно делаю. Вы можете написать чуть подробнее?

Что написать-то? Я же не знаю, что вы там своим правилом делаете и в каком порядке. Кстати, проверьте порядок правил. Это важно в фаерволе.

dirar писал(а):Здравствуйте!
Необходимо написать правило в firewall и указать доменное имя и порт. C ip-адресом все заработало.
А как указать доменное имя?

В целом совет + подумать надо будет Вам!:

В правиле, вторая закладка, там сверху будут два поля
Src Address List
Dst Address List
Вот вместо адреса на первой вкладке, Вы во второй вкладке правила
в этих полях (в нужное поле) из внизспадающего списка выбераете
адрес-лист(ы).

Адрес-лист(ы) создаётся в предпоследней вкладке файрволла,
придумываете имя адрес-листу(чтобы оно с чем-то ассоциировалось)
и в этот адрес лист вбиваете скажем yandex.ru и все все адреса
которые есть у яндекса будут уже в этом адрес листе, а значит,
применив в правиле(ах) этот адрес лист, применяться все значения
взятые из этого адрес-листа.

(как-то так...)

Мне нужно открыть доступ к данным на этом сайте https://ofd-ya.ru/installation, т.е. в правиле указать доменное имя и порт. Я зашел в IP-Firewall-Adress Lists и добавил туда имя connect.ofd-ya.ru. Потом уже на вкладке NAT создал правило:
В General указал Chain=srcnat, Protocol=tcp, Dst. Porp=7779, а на вкладке Advanced Src Address List= CapsMan, Dst. address List= ofd_domain.
Вот мои действия. Все равно не работает.

dirar писал(а):Мне нужно открыть доступ к данным на этом сайте https://ofd-ya.ru/installation, т.е. в правиле указать доменное имя и порт. Я зашел в IP-Firewall-Adress Lists и добавил туда имя connect.ofd-ya.ru. Потом уже на вкладке NAT создал правило:
В General указал Chain=srcnat, Protocol=tcp, Dst. Porp=7779, а на вкладке Advanced Src Address List= CapsMan, Dst. address List= ofd_domain.
Вот мои действия. Все равно не работает.

У Вас очень много пробелов в познании, давайте заполним общую картину:
а) компьютер(ы) или пользователь(и) которым нужен доступ, их адреса занесены в адрес-лист CapsMan (это вытекает из логики Вашей, а вдруг в этом адрес-листе пусто)?
б) вообще доступ есть у пользователей в Интернет вообще? (то бишь иными словами НАТ для кого-то или как-то сделан)
в) если в пункте б) ответ ДА, то Ваше текущее составленное правило (оно "строгое") должно быть первее(или выше) общего НАТа.
г) у правила есть счётчик байтов и пакетов, они (счётчики) хоть тронулись с нуля? (то есть в правило хоть что-то попадало)? (логирование включали?)
д) если в этом же правиле убрать использование адрес листа "ofd_domain" и вместо него на первой закладке вписать IP адрес сайта = так работает?
е) если у Вас нет общего НАТа(или нет доступа в Интернет), что если временно дать общий НАТ для всей сети = сайт заработает? Если да, то
уже потом брать это правило и тюнинговать в сторону более ограничивающее.
ж) а что показывает трасерт с компьютера(ов)?

Vlad-2 писал(а):

dirar писал(а):Мне нужно открыть доступ к данным на этом сайте https://ofd-ya.ru/installation, т.е. в правиле указать доменное имя и порт. Я зашел в IP-Firewall-Adress Lists и добавил туда имя connect.ofd-ya.ru. Потом уже на вкладке NAT создал правило:
В General указал Chain=srcnat, Protocol=tcp, Dst. Porp=7779, а на вкладке Advanced Src Address List= CapsMan, Dst. address List= ofd_domain.
Вот мои действия. Все равно не работает.

У Вас очень много пробелов в познании, давайте заполним общую картину:
а) компьютер(ы) или пользователь(и) которым нужен доступ, их адреса занесены в адрес-лист CapsMan (это вытекает из логики Вашей, а вдруг в этом адрес-листе пусто)?
б) вообще доступ есть у пользователей в Интернет вообще? (то бишь иными словами НАТ для кого-то или как-то сделан)
в) если в пункте б) ответ ДА, то Ваше текущее составленное правило (оно "строгое") должно быть первее(или выше) общего НАТа.
г) у правила есть счётчик байтов и пакетов, они (счётчики) хоть тронулись с нуля? (то есть в правило хоть что-то попадало)? (логирование включали?)
д) если в этом же правиле убрать использование адрес листа "ofd_domain" и вместо него на первой закладке вписать IP адрес сайта = так работает?
е) если у Вас нет общего НАТа(или нет доступа в Интернет), что если временно дать общий НАТ для всей сети = сайт заработает? Если да, то
уже потом брать это правило и тюнинговать в сторону более ограничивающее.
ж) а что показывает трасерт с компьютера(ов)?

Доступ нужен для ККМ и на сайт, который я указал. Адрес лист создавал и он не пустой. НАТом все работает. А вот тюнинговать его не могу.

ps. Есть аналог команды nslookup для mikrotik?

dirar писал(а):Доступ нужен для ККМ и на сайт, который я указал. Адрес лист создавал и он не пустой. НАТом все работает. А вот тюнинговать его не могу.
ps. Есть аналог команды nslookup для mikrotik?

Ну Вы и половину вопросов моих как-будто и не заметили. Сжато ответили!

Во-первых, порядок правил ВАЖЕН, правило более узкое и точное должно быть выше, чтобы оно сработало быстрее,
чем то, которое более обобщённое и в которое уже попадают пакеты с более разными критериями.
Во-вторых, я всё же дал совет Вам: попробовать правило с айпи(для удобства), работает, это же правило модифицируем
для работы уже с адрес-листами, то есть ни трогаем лишнее, только адрес листы начинаем использовать.
В третьих, тюнинг нужен лишь небольшой, логический. В адрес-лист заносится только адрес сайта.
Порт не надо вносить. Порт прописывается только в правиле. Также попробуйте использовать адрес-лист только
Dst.Address List, то есть использовать только один адрес-лист, потом уже дополните правило вторым адрес-листом.
Включите опять же логирование, в логах Вы будете/или не будете видеть пакеты, откуда они и куда, также про счётчики правил вообще, что с ними?

Ваша задача собрать пару переменных и всё это описать в одном правиле. Проще уже некуда. Сильно детализировать не могу,
не видя детали, конфиг. Любой совет даётся лишь как направление, подсказка. А дальше инженерный подход.

P.S.
На счёт аналогов nslookup'а в микротике (в консоле) сейчас не помню и вообще не припоминаю.
а) резолвинг адресов делает микротик внутри себя сам, сделайте пинг и увидите адрес
б) надо помнить нюанс(ы):
1) адреса микротик резолвит от того ДНС-сервера, который(е) указаны в настройках/получил по "динамике"
2) при использовании графических утилит (пинг, трассерт) через винбокс = резолвинг в винбоксе делается через ДНС указанный
на компьютере, на котором в данный момент и работает винбокс.