адрес лист и подсети

[chas99]

Доброго дня всем =)

подскажите, пожалуйста, можно сделать чтобы автоматом добавить в адрес лист сразу всю подсеть ?
например попал входящий 185.70.187.189 в черный список, и сразу добавилась вся подсеть 185.70.184.0/22 в черный список

[chas99]

и еще вопрос - как можно добавить в адрес лист диапазон адресов, например '5.39.218.128 - 5.39.218.200' ?

[Chupaka]

А как вы собираетесь определять размер подсети? Проще всего, наверное, предположить, что подсети везде /24 - и просто удалять последнее число, заменяя его на "0/24"

[Chupaka]

и еще вопрос - как можно добавить в адрес лист диапазон адресов, например '5.39.218.128 - 5.39.218.200' ?

Достаточно неожиданный, наверное, ответ, но... Вот так и добавлять

Код: Выделить всё

ip fi address-list add list=test address=1.1.1.5-1.1.1.8

[chas99]

и еще вопрос - как можно добавить в адрес лист диапазон адресов, например '5.39.218.128 - 5.39.218.200' ?

Достаточно неожиданный, наверное, ответ, но... Вот так и добавлять

Код: Выделить всё

ip fi address-list add list=test address=1.1.1.5-1.1.1.8

Таки да, работает! спасибо =)

[chas99]

... просто удалять последнее число, заменяя его на "0/24"

а как-то можно это автоматизировать, чтобы не ручками заменять?

[Chupaka]

Что именно вы хотите автоматизировать? Что у вас уже есть?

Например, action=add-src-to-address-list сильно "автоматизировать" не получится - он только /32 и будет добавлять

[chas99]

так в том и дело, action=add-src-to-address-list добавляет только сам адрес...
хотелось бы наверное скриптик, который бы например раз в ХХ минут "пробегал" address_list и менял адреса aaa.bbb.ccc.ddd на aaa.bbb.ccc.0/24

[Chupaka]

В качестве отправной точки можно использовать скриптик типа такого:

Код: Выделить всё

{
	:local a;
	:foreach i in=[/ip firewall address-list find list="conv"] do={
		:set a [/ip firewall address-list get $i address];
		[/ip firewall address-list set $i address=([:pick $a 0 ([:find $a "." ([:find $a "." ([:find $a "." 0] + 1)] + 1)] + 1)]."0/24")]
	}
}

[chas99]

В качестве отправной точки можно использовать скриптик типа такого:

Код: Выделить всё

{
	:local a;
	:foreach i in=[/ip firewall address-list find list="conv"] do={
		:set a [/ip firewall address-list get $i address];
		[/ip firewall address-list set $i address=([:pick $a 0 ([:find $a "." ([:find $a "." ([:find $a "." 0] + 1)] + 1)] + 1)]."0/24")]
	}
}

супер! браво! респект!

[lemark710]

Подскажите а если нужно в адрес лист добавить диапазон с разными подсетями?
192.168.10.0-192.168.123.255

[Chupaka]

А конкретнее? Что тут разное и какой критерий определения ширины диапазона?

[lemark710]

*.*.10.0-*.*.123.255
тоесть 10.0-10.255
11.0-11.255
12.0-12.255 и так до 123,255
В адрес лист такой диапазон вставить не дает.
Максимум получается 192.168.10.0-192.168.10.255 или 192,168,10,0/24
Необходимо сделать доступ к микротику только ip из одного города или одной страны.

[Chupaka]

Опишите, пожалуйста, что значит "не даёт":

Код: Выделить всё

> /ip firewall address-list add list=list address=192.168.10.0-192.168.123.255
> /ip firewall address-list print 
Flags: X - disabled, D - dynamic 
 #   LIST                          ADDRESS                                              CREATION-TIME        TIMEOUT
 0   list                          192.168.10.0-192.168.123.255                         dec/24/2019 14:21:20

[lemark710]

Захожу Фаервол - Адрес лист
ДОбавляю 217.19.208.0-217.19.223.255
Нажимаю Apply
В итоге добавляет 217.19.208.0/20

[Chupaka]

И что не так? 217.19.208.0/20 - это подсеть с диапазоном адресов 217.19.208.0-217.19.223.255. Они абсолютно равнозначны.

https://www.opennet.ru/ipcalc.shtml?ip= ... D4%D8+-%3E

[lemark710]

Спасибо