(РЕШЕНО) Дефолтные правила и DHCP

Базовая функциональность RouterOS
wan
Сообщения: 87
Зарегистрирован: 20 авг 2017, 13:43

Re: Дефолтные правила и DHCP

Сообщение wan »

Sir_Prikol писал(а): 30 окт 2018, 18:42 Ну во первых - у вас все сети идут через маршрутизатор, а это явно он начинает контролировать сеть. Ваша задача сделать так, чтобы маршрутизтор НЕ участвовал в этом всём, для этого выводите в отдельные бриджи локальную сеть и исключаете его из фаервола
Или, создаёте адреслисты и в фаере прописываете исключения на адреслисты
а зачем бридж? отдельные порты в каждом микротике
Ваше второе предложение не совсем понял? В смысле совсем не понимаю как это реализовать. Пример элементарный можно? :oops:
Адреслисты знаю, но не понимаю в какие исключения :oops:

Предистория знакомства с МТ, принесли 27 декабря - 3 января сеть должна быть на нем. На тот момент я его первый раз в глаза увидел. Интересно, но с самообучением тяжно, староват :D
Аватара пользователя
Sir_Prikol
Сообщения: 562
Зарегистрирован: 14 апр 2018, 15:21
Откуда: СССР

Re: Дефолтные правила и DHCP

Сообщение Sir_Prikol »

Ну тут молодых нема :)

Значит так, создаётся адресс лист
в фаерволе в меню src-addresslist выставляется нужный и слева отмечается квадратик - что означает что исключить именно этот адресс-лист
В адресслисте нужно перечислисть все свои сети (если память не изменяет у Вас там BOGONS адресслист)

Вывод может быть примерно такой

Код: Выделить всё

 ;;; DNS flood protect (WAN List)
      chain=prerouting action=add-src-to-address-list in-interface-list=WAN dst-port=53 log=no log-prefix="dnsflood" protocol=udp 
      dst-address=!123.123.123.0/22 address-list=dnsflood address-list-timeout=1h 
Дома: CCR2004 (7-ISP(GPON)белый IP)
wan
Сообщения: 87
Зарегистрирован: 20 авг 2017, 13:43

Re: Дефолтные правила и DHCP

Сообщение wan »

Sir_Prikol писал(а): 30 окт 2018, 19:24 в фаерволе в меню src-addresslist выставляется нужный и слева отмечается квадратик - что означает что исключить именно этот адресс-лист
как листы делать я научился :)
вы имеете ввиду это сделать для правил по invalid?

Код: Выделить всё

/ip firewall address-list
add address=192.168.38.0/24 list=local
add address=192.168.98.0/24 list=local
add address=192.168.95.0/24 list=local
add address=192.168.195.0/24 list=local
add address=192.168.56.0/24 list=local

/ip firewall filter
add chain=input connection-state=invalid src-address-list=!local action=drop
add chain=forward connection-state=invalid src-address-list=!local action=drop
Аватара пользователя
Sir_Prikol
Сообщения: 562
Зарегистрирован: 14 апр 2018, 15:21
Откуда: СССР

Re: Дефолтные правила и DHCP

Сообщение Sir_Prikol »

Да, так тоже можно, но, я бы сменил название local на другое, ибо эта переменная где-то в самом микротике используется и могут вылезти не предсказуемые последствия
Дома: CCR2004 (7-ISP(GPON)белый IP)
wan
Сообщения: 87
Зарегистрирован: 20 авг 2017, 13:43

Re: Дефолтные правила и DHCP

Сообщение wan »

поменял на более произвольное и понятное
Еще один вопрос: каким образом можно исключить все мои сети, возможно даже просто 192.168.0.0/16 из firewall?
В каждом правиле добавлять исключения или можно как-то хитро сделать и более правильно?

Chupaka добавлял в лог и мониторил то, что вы просили, там куча пакетов дропалось как в сторону WAN, так и по всей сети, в основном адреса серверов с портами виндовыми и оракловыми, но так-же много непонятных соединений. Я в этой конторе от вирусов избавлялся в сети года три, возможно еще не все вывел конечно,.... но не похоже на активность вирсную
Аватара пользователя
Sir_Prikol
Сообщения: 562
Зарегистрирован: 14 апр 2018, 15:21
Откуда: СССР

Re: Дефолтные правила и DHCP

Сообщение Sir_Prikol »

Ну, скажем так, 192.168.0.0/16 не совсем правильно в связке с ростелекомом, он имеет свойство выдавать серую адресацию "случайно"
Поэтому лучше всего использовать адреслисты и в каждом правиле, где надо исключить сеть, их их спользовать
Chupaka добавлял в лог и мониторил то, что вы просили
После добавления исключения по адреслистам, что стало с логами? Очистились или до сих пор присутствует дроп из локальной сети?
Дома: CCR2004 (7-ISP(GPON)белый IP)
wan
Сообщения: 87
Зарегистрирован: 20 авг 2017, 13:43

Re: Дефолтные правила и DHCP

Сообщение wan »

После добавления исключения по адреслистам, что стало с логами? Очистились или до сих пор присутствует дроп из локальной сети?
Чисто стало
понаблюдаю завтра
Спасибо огромное за подсказки и разъяснения
Аватара пользователя
Chupaka
Сообщения: 4086
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: Дефолтные правила и DHCP

Сообщение Chupaka »

Я писал добавить accept-правило с LAN на LAN перед дропающими
wan
Сообщения: 87
Зарегистрирован: 20 авг 2017, 13:43

Re: Дефолтные правила и DHCP

Сообщение wan »

Chupaka писал(а): 30 окт 2018, 22:47 Я писал добавить accept-правило с LAN на LAN перед дропающими
добавил, наблюдаю
wan
Сообщения: 87
Зарегистрирован: 20 авг 2017, 13:43

Re: Дефолтные правила и DHCP

Сообщение wan »

Chupaka писал(а): 30 окт 2018, 22:47 Я писал добавить accept-правило с LAN на LAN перед дропающими
Помогло!

Спасибо огромное