(РЕШЕНО) Дефолтные правила и DHCP
-
- Сообщения: 560
- Зарегистрирован: 14 апр 2018, 15:21
- Откуда: СССР
Re: Дефолтные правила и DHCP
Спокойно, сам был в таких-же ситуациях, для начала смотрим топологию, почему локалка попадает на маршрутизатор, для этого логгируем правила и смотрим запросы
Дома: CCR2004 (7-ISP(GPON)белый IP)
-
- Сообщения: 86
- Зарегистрирован: 20 авг 2017, 13:43
Re: Дефолтные правила и DHCP
топология:
ВПН L3 общий
1здание (ВП) - МТ, 2 сети на одном порту - 192.168.38.0/24 и 192.168.98.0/24
2 (ДП) - МТ, 2 сети на одном порту - 192.168.95.0/24 и 192.168.195.0/24
3 (ДО) - МТ, 1 сеть 192.168.56.0/24
каждый сегмент = свой L2
МТ воткнуты портом ETHx_LAN_LOCAL в пачку комутаторов с рабочими станциями
МТ офисов связаны по L3 отдельными портами ETHx_LAN_WAN - сеть 172.16.0.0/29
все замаршрутизировано, все летает
кроме вышеупомянутого с правилами на invalid
уж куда проще сеть незнаю, глядя на другие Ваши посты с BGP и чемто еще, совершенно мне незнакомым, у меня просто кросс между двух компьютеров как в 90х для игры в doom2
ВПН L3 общий
1здание (ВП) - МТ, 2 сети на одном порту - 192.168.38.0/24 и 192.168.98.0/24
2 (ДП) - МТ, 2 сети на одном порту - 192.168.95.0/24 и 192.168.195.0/24
3 (ДО) - МТ, 1 сеть 192.168.56.0/24
каждый сегмент = свой L2
МТ воткнуты портом ETHx_LAN_LOCAL в пачку комутаторов с рабочими станциями
МТ офисов связаны по L3 отдельными портами ETHx_LAN_WAN - сеть 172.16.0.0/29
все замаршрутизировано, все летает
кроме вышеупомянутого с правилами на invalid
уж куда проще сеть незнаю, глядя на другие Ваши посты с BGP и чемто еще, совершенно мне незнакомым, у меня просто кросс между двух компьютеров как в 90х для игры в doom2
-
- Сообщения: 560
- Зарегистрирован: 14 апр 2018, 15:21
- Откуда: СССР
Re: Дефолтные правила и DHCP
Ну во первых - у вас все сети идут через маршрутизатор, а это явно он начинает контролировать сеть. Ваша задача сделать так, чтобы маршрутизтор НЕ участвовал в этом всём, для этого выводите в отдельные бриджи локальную сеть и исключаете его из фаервола
Или, создаёте адреслисты и в фаере прописываете исключения на адреслисты
Или, создаёте адреслисты и в фаере прописываете исключения на адреслисты
Дома: CCR2004 (7-ISP(GPON)белый IP)
-
- Сообщения: 560
- Зарегистрирован: 14 апр 2018, 15:21
- Откуда: СССР
Re: Дефолтные правила и DHCP
Это у меня сеть проще не куда И то, потому что она дома, в продакшене там чёрт ногу сломит, но она настроена очень давно и я её не трогаюуж куда проще сеть незнаю, глядя на другие Ваши посты с BGP и чемто еще, совершенно мне незнакомым, у меня просто кросс между двух компьютеров как в 90х для игры в doom2
Дома: CCR2004 (7-ISP(GPON)белый IP)
-
- Сообщения: 3915
- Зарегистрирован: 29 фев 2016, 15:26
- Откуда: Минск
-
- Сообщения: 86
- Зарегистрирован: 20 авг 2017, 13:43
Re: Дефолтные правила и DHCP
а зачем бридж? отдельные порты в каждом микротикеSir_Prikol писал(а): ↑30 окт 2018, 18:42 Ну во первых - у вас все сети идут через маршрутизатор, а это явно он начинает контролировать сеть. Ваша задача сделать так, чтобы маршрутизтор НЕ участвовал в этом всём, для этого выводите в отдельные бриджи локальную сеть и исключаете его из фаервола
Или, создаёте адреслисты и в фаере прописываете исключения на адреслисты
Ваше второе предложение не совсем понял? В смысле совсем не понимаю как это реализовать. Пример элементарный можно?
Адреслисты знаю, но не понимаю в какие исключения
Предистория знакомства с МТ, принесли 27 декабря - 3 января сеть должна быть на нем. На тот момент я его первый раз в глаза увидел. Интересно, но с самообучением тяжно, староват
-
- Сообщения: 560
- Зарегистрирован: 14 апр 2018, 15:21
- Откуда: СССР
Re: Дефолтные правила и DHCP
Ну тут молодых нема
Значит так, создаётся адресс лист
в фаерволе в меню src-addresslist выставляется нужный и слева отмечается квадратик - что означает что исключить именно этот адресс-лист
В адресслисте нужно перечислисть все свои сети (если память не изменяет у Вас там BOGONS адресслист)
Вывод может быть примерно такой
Значит так, создаётся адресс лист
в фаерволе в меню src-addresslist выставляется нужный и слева отмечается квадратик - что означает что исключить именно этот адресс-лист
В адресслисте нужно перечислисть все свои сети (если память не изменяет у Вас там BOGONS адресслист)
Вывод может быть примерно такой
Код: Выделить всё
;;; DNS flood protect (WAN List)
chain=prerouting action=add-src-to-address-list in-interface-list=WAN dst-port=53 log=no log-prefix="dnsflood" protocol=udp
dst-address=!123.123.123.0/22 address-list=dnsflood address-list-timeout=1h
Дома: CCR2004 (7-ISP(GPON)белый IP)
-
- Сообщения: 86
- Зарегистрирован: 20 авг 2017, 13:43
Re: Дефолтные правила и DHCP
как листы делать я научилсяSir_Prikol писал(а): ↑30 окт 2018, 19:24 в фаерволе в меню src-addresslist выставляется нужный и слева отмечается квадратик - что означает что исключить именно этот адресс-лист
вы имеете ввиду это сделать для правил по invalid?
Код: Выделить всё
/ip firewall address-list
add address=192.168.38.0/24 list=local
add address=192.168.98.0/24 list=local
add address=192.168.95.0/24 list=local
add address=192.168.195.0/24 list=local
add address=192.168.56.0/24 list=local
/ip firewall filter
add chain=input connection-state=invalid src-address-list=!local action=drop
add chain=forward connection-state=invalid src-address-list=!local action=drop
-
- Сообщения: 560
- Зарегистрирован: 14 апр 2018, 15:21
- Откуда: СССР
Re: Дефолтные правила и DHCP
Да, так тоже можно, но, я бы сменил название local на другое, ибо эта переменная где-то в самом микротике используется и могут вылезти не предсказуемые последствия
Дома: CCR2004 (7-ISP(GPON)белый IP)
-
- Сообщения: 86
- Зарегистрирован: 20 авг 2017, 13:43
Re: Дефолтные правила и DHCP
поменял на более произвольное и понятное
Еще один вопрос: каким образом можно исключить все мои сети, возможно даже просто 192.168.0.0/16 из firewall?
В каждом правиле добавлять исключения или можно как-то хитро сделать и более правильно?
Chupaka добавлял в лог и мониторил то, что вы просили, там куча пакетов дропалось как в сторону WAN, так и по всей сети, в основном адреса серверов с портами виндовыми и оракловыми, но так-же много непонятных соединений. Я в этой конторе от вирусов избавлялся в сети года три, возможно еще не все вывел конечно,.... но не похоже на активность вирсную
Еще один вопрос: каким образом можно исключить все мои сети, возможно даже просто 192.168.0.0/16 из firewall?
В каждом правиле добавлять исключения или можно как-то хитро сделать и более правильно?
Chupaka добавлял в лог и мониторил то, что вы просили, там куча пакетов дропалось как в сторону WAN, так и по всей сети, в основном адреса серверов с портами виндовыми и оракловыми, но так-же много непонятных соединений. Я в этой конторе от вирусов избавлялся в сети года три, возможно еще не все вывел конечно,.... но не похоже на активность вирсную
-
- Сообщения: 560
- Зарегистрирован: 14 апр 2018, 15:21
- Откуда: СССР
Re: Дефолтные правила и DHCP
Ну, скажем так, 192.168.0.0/16 не совсем правильно в связке с ростелекомом, он имеет свойство выдавать серую адресацию "случайно"
Поэтому лучше всего использовать адреслисты и в каждом правиле, где надо исключить сеть, их их спользовать
Поэтому лучше всего использовать адреслисты и в каждом правиле, где надо исключить сеть, их их спользовать
После добавления исключения по адреслистам, что стало с логами? Очистились или до сих пор присутствует дроп из локальной сети?Chupaka добавлял в лог и мониторил то, что вы просили
Дома: CCR2004 (7-ISP(GPON)белый IP)
-
- Сообщения: 86
- Зарегистрирован: 20 авг 2017, 13:43
Re: Дефолтные правила и DHCP
Чисто сталоПосле добавления исключения по адреслистам, что стало с логами? Очистились или до сих пор присутствует дроп из локальной сети?
понаблюдаю завтра
Спасибо огромное за подсказки и разъяснения
-
- Сообщения: 3915
- Зарегистрирован: 29 фев 2016, 15:26
- Откуда: Минск
Re: Дефолтные правила и DHCP
Я писал добавить accept-правило с LAN на LAN перед дропающими
-
- Сообщения: 86
- Зарегистрирован: 20 авг 2017, 13:43
-
- Сообщения: 86
- Зарегистрирован: 20 авг 2017, 13:43