@MikrotikRu

Страница 546 из 3964
 
igor
02.01.2017
15:48:01
/ip firewall filter add action=jump chain=forward comment="web site " disabled=yes dst-address=192.168.7.202 jump-target=Fwd_Bitrix add action=accept chain=forward dst-address=192.168.7.202 dst-port=80 protocol=tcp add action=drop chain=forward dst-address=192.168.7.202 add action=accept chain=forward comment="web site " connection-limit=100,32 connection-state=new disabled=yes dst-address=192.168.7.2 dst-port=80,22 protocol=tcp add action=accept chain=forward comment="web site " connection-limit=100,32 connection-state=new disabled=yes protocol=tcp src-address=192.168.7.2 src-port=80,22 add action=accept chain=forward comment="web site " disabled=yes dst-address=192.168.7.2 protocol=icmp add action=accept chain=forward comment="web site " dst-address=192.168.7.2 add action=accept chain=forward comment="web site " disabled=yes add action=accept chain=input comment="Accept established connections" connection-state=established add action=accept chain=input comment="Accept related connections" connection-state=related add action=drop chain=input comment="Drop invalid connections" connection-state=invalid add action=accept chain=output comment="Accept established connections" connection-state=established add action=accept chain=output comment="Accept related connections" connection-state=related add action=drop chain=output comment="Drop invalid connections" connection-state=invalid add action=accept chain=forward comment="Accept established connections" connection-state=established add action=accept chain=forward comment="Accept related connections" connection-state=related add action=drop chain=forward comment="Drop invalid connections" connection-state=invalid add action=accept chain=output add action=accept chain=input comment="ICMP echo reply" icmp-options=0:0 in-interface=vlan103 protocol=icmp src-address-list=ru add action=accept chain=input comment="ICMP net unreachable" icmp-options=3:0 in-interface=vlan103 protocol=icmp src-address-list=ru add action=accept chain=input comment="ICMP host unreachable" icmp-options=3:1 in-interface=vlan103 protocol=icmp src-address-list=ru add action=accept chain=input comment="ICMP host unreachable fragmentation required" icmp-options=3:4 in-interface=vlan103 protocol=icmp src-address-list=ru add action=accept chain=input comment="ICMP allow source quench" icmp-options=4:0 in-interface=vlan103 protocol=icmp src-address-list=ru add action=accept chain=input comment="ICMP allow echo request" icmp-options=8:0 in-interface=vlan103 protocol=icmp src-address-list=ru add action=accept chain=input comment="ICMP allow time exceed" icmp-options=11:0 in-interface=vlan103 protocol=icmp src-address-list=ru add action=accept chain=input comment="ICMP allow parameter bad" icmp-options=12:0 in-interface=vlan103 protocol=icmp src-address-list=ru add action=drop chain=input comment="ICMP deny all other types" in-interface=vlan103 protocol=icmp src-address-list=ru add action=drop chain=input comment="ssh brute forcers" connection-state=new dst-port=22 in-interface=vlan103 protocol=tcp src-address-list=ssh_blacklist add action=add-src-to-address-list address-list=ssh_blacklist address-list-timeout=4w2d chain=input comment="ssh brute forcers" connection-state=new dst-port=22 in-interface=vlan103 protocol=tcp \ src-address-list=ssh_stage3 add action=add-src-to-address-list address-list=ssh_stage3 address-list-timeout=10m chain=input comment="ssh brute forcers" connection-state=new dst-port=22 in-interface=vlan103 protocol=tcp \ src-address-list=ssh_stage2 add action=add-src-to-address-list address-list=ssh_stage2 address-list-timeout=10m chain=input comment="ssh brute forcers" connection-state=new dst-port=22 in-interface=vlan103 protocol=tcp \ src-address-list=ssh_stage1 add action=add-src-to-address-list address-list=ssh_stage1 address-list-timeout=1m chain=input comment="ssh brute forcers" connection-state=new dst-port=22 in-interface=vlan103 protocol=tcp

 
add action=accept chain=input comment="ssh brute forcers" connection-state=new dst-port=22 in-interface=vlan103 protocol=tcp src-address-list=ru add action=accept chain=input comment="web site" connection-limit=100,32 connection-state=new dst-port=80 in-interface=vlan103 protocol=tcp add action=accept chain=input comment=IN_DNS in-interface=vlan103 protocol=udp src-port=53 add action=accept chain=input comment="L2TP server" dst-port=1701 in-interface=vlan103 protocol=udp src-address-list=ru add action=drop chain=input comment="Input Internet" in-interface=vlan103 add action=accept chain=input comment="Input LAN" in-interface=!vlan103 add action=accept chain=forward comment="web site " disabled=yes dst-address=192.168.7.202 protocol=icmp add action=accept chain=forward comment="web site " connection-state=new disabled=yes dst-address=192.168.7.202 dst-port=22,80 protocol=tcp add action=drop chain=forward comment="web site " connection-state=new disabled=yes dst-address=192.168.7.202 add action=jump chain=forward comment=core.b22igor.ru connection-limit=100,32 dst-address-list=Core.b22igor.ru jump-target=Fwd-Core-B22igor-Ru add action=jump chain=forward comment="FWD to SIP gp3" dst-address-list=Gp3_sip jump-target=FWD_SIP out-interface=vlan247 add action=jump chain=forward comment="FWD to Net247" dst-address-list=Net_247 jump-target=FWD_Net247 out-interface=vlan247 src-address-list=bogon add action=jump chain=forward comment="FWD to Net230" dst-address-list=Net_230 jump-target=FWD_Net230 out-interface=vlan230 src-address-list=bogon add action=accept chain=forward comment=Block_Hosts dst-address-list=bogon src-address-list=block_hosts add action=accept chain=forward comment=Block_Hosts dst-address-list=RMIAC_local src-address-list=block_hosts add action=accept chain=forward comment=Block_Hosts dst-address-list=Work_sites src-address-list=block_hosts add action=drop chain=forward comment=Block_Hosts dst-address-list=!bogon src-address-list=block_hosts add action=jump chain=forward comment=Check_Torrent dst-address-list=bogon in-interface=vlan103 jump-target=Check_Torrent src-address-list=!bogon add action=jump chain=forward comment=Check_Torrent dst-address-list=!bogon jump-target=Check_Torrent out-interface=vlan103 src-address-list=bogon add action=jump chain=forward comment=Check_Stream_Media disabled=yes dst-address-list=bogon in-interface=vlan103 jump-target=Check_Stream_Media src-address-list=!bogon add action=jump chain=forward comment=Check_Stream_Media disabled=yes dst-address-list=!bogon jump-target=Check_Stream_Media out-interface=vlan103 src-address-list=bogon add action=jump chain=forward comment="FWD lan to inet" disabled=yes jump-target=FWD_Lan_Inet out-interface=vlan103 add action=accept chain=forward add action=accept chain=FWD_Lan_Inet add action=accept chain=FWD_Lan_Inet comment="Fwd ICMP" connection-limit=100,32 out-interface=vlan103 protocol=icmp add action=accept chain=FWD_Lan_Inet comment="Work Sites" dst-address-list=Work_sites out-interface=vlan103 add action=accept chain=FWD_Lan_Inet comment="Sbis Tensor" connection-limit=40,32 connection-state=new dst-port=25,110,251,1101 out-interface=vlan103 protocol=tcp add action=accept chain=FWD_Lan_Inet comment=DLO dst-address=90.188.54.202 dst-port=11071 out-interface=vlan103 protocol=tcp add action=accept chain=FWD_Lan_Inet comment="DLO VipNet Coordinator" dst-address=90.188.54.203 dst-port=55777 out-interface=vlan103 protocol=udp add action=drop chain=FWD_Lan_Inet comment="DROP all udp" disabled=yes out-interface=vlan103 protocol=udp add action=accept chain=forward comment="FWD lan to inet" connection-limit=20,32 dst-address-list=Work_sites out-interface=vlan103 add action=accept chain=FWD_Lan_Inet comment="FWD lan to inet" connection-limit=20,32 out-interface=vlan103 add action=drop chain=FWD_Lan_Inet comment="DROP all" out-interface=vlan103 add action=accept chain=forward dst-address-list=bogon src-address-list=bogon

 
add action=accept chain=FWD_SIP comment="sip srv Burnet" dst-address-list=Gp3_sip dst-port=5060,10000-20000 in-interface=vlan103 protocol=udp src-address-list=SBC_Beeline add action=accept chain=FWD_SIP comment="sip srv Burnet" dst-address-list=Gp3_sip dst-port=5060,10000-20000 in-interface=vlan103 protocol=udp src-address-list=Sip_Providers add action=accept chain=FWD_SIP comment="sip srv" dst-address-list=Gp3_sip dst-port=5060,10000-20000 in-interface=!vlan103 protocol=udp src-address=192.168.0.0/16 add action=accept chain=FWD_SIP comment="sip srv ssh" dst-address-list=Gp3_sip dst-port=22 in-interface=!vlan103 protocol=tcp src-address=192.168.0.0/16 add action=accept chain=FWD_SIP comment="sip srv web" dst-address-list=Gp3_sip dst-port=80,60001 in-interface=!vlan103 protocol=tcp src-address=192.168.0.0/16 add action=accept chain=FWD_SIP comment="sip srv autoprovision" dst-address-list=Gp3_sip dst-port=8888 in-interface=!vlan103 protocol=tcp src-address=192.168.0.0/16 add action=accept chain=FWD_SIP comment="Zabbix Agent" dst-address-list=Gp3_sip dst-port=10050 in-interface=!vlan103 protocol=tcp src-address-list=Gp3_Zabbix add action=drop chain=FWD_SIP comment="gp3 sip server" in-interface=vlan103 add action=accept chain=FWD_Net230 comment="Apteka 7 amb" dst-address=192.168.230.3 src-address=192.168.70.230 add action=accept chain=FWD_Net230 comment="Apteka 7 amb" dst-address=192.168.230.4 src-address=192.168.70.230 add action=accept chain=FWD_Net230 comment=chicken dst-address=192.168.230.3 src-address=192.168.150.29 add action=accept chain=FWD_Net230 comment=chicken dst-address=192.168.230.5 src-address=192.168.150.29 add action=accept chain=FWD_Net230 comment=chicken dst-address=192.168.230.3 src-address=192.168.150.30 add action=accept chain=FWD_Net230 comment=chicken dst-address=192.168.230.5 src-address=192.168.150.30 add action=accept chain=FWD_Net230 comment="Glav medsestra" dst-address=192.168.230.3 src-address=192.168.125.20 add action=accept chain=FWD_Net230 dst-address=192.168.230.3 src-address=192.168.118.0/24 add action=accept chain=FWD_Net230 dst-address=192.168.230.4 src-address=192.168.118.0/24 add action=accept chain=FWD_Net230 dst-address=192.168.230.0/24 in-interface=ether4 src-address=192.168.250.0/24 add action=drop chain=FWD_Net230 dst-address=192.168.230.0/24 add action=accept chain=FWD_Net247 dst-address-list=Net_247 src-address-list=Net_250 add action=accept chain=FWD_Net247 dst-address-list=Net_247 src-address-list=Gp3_sip add action=drop chain=FWD_Net247 dst-address-list=Net_247 add action=drop chain=Check_Torrent comment=Edonkey p2p=edonkey add action=drop chain=Check_Torrent comment="Torrent block" p2p=bit-torrent add action=drop chain=Check_Torrent comment=Torrent p2p=all-p2p add action=drop chain=Check_Torrent comment=Torrent p2p=blubster add action=drop chain=Check_Torrent comment=Torrent p2p=direct-connect add action=drop chain=Check_Torrent comment=Torrent p2p=fasttrack add action=drop chain=Check_Torrent comment=Torrent p2p=gnutella add action=drop chain=Check_Torrent comment=Torrent p2p=winmx add action=drop chain=Check_Torrent comment=Torrent p2p=soulseek add action=drop chain=Check_Torrent comment=Torrent p2p=warez add action=drop chain=Check_Torrent content=d1:ad2:id20: dst-port=1025-65535 packet-size=95-190 protocol=udp add action=drop chain=Check_Torrent content="info_hash=" dst-port=2710,80 protocol=tcp add action=drop chain=Check_Torrent comment=Torrent packet-size=576 protocol=tcp src-port=1024-65535 add action=drop chain=Check_Torrent comment=Torrent packet-size=1240 protocol=tcp src-port=1024-65535 add action=drop chain=Check_Torrent comment=Torrent packet-size=1330 protocol=tcp src-port=1024-65535 add action=drop chain=Check_Torrent comment=Torrent packet-size=1400 protocol=tcp src-port=1024-65535 add action=drop chain=Check_Torrent comment=Torrent packet-size=1460 protocol=tcp src-port=1024-65535 add action=drop chain=Check_Torrent comment=Torrent packet-size=398 protocol=udp src-port=1024-65535

 
add action=drop chain=Check_Torrent comment=Torrent packet-size=748 protocol=udp src-port=1024-65535 add action=drop chain=Check_Torrent comment=Torrent packet-size=1430 protocol=udp src-port=1024-65535 add action=drop chain=Check_Torrent comment=Torrent packet-size=1448 protocol=udp src-port=1024-65535 add action=drop chain=Check_Torrent comment=Torrent packet-size=1466 protocol=udp src-port=1024-65535 add action=drop chain=Check_Torrent comment=Torrent layer7-protocol=p2p-B5TP-2 add action=drop chain=Check_Torrent comment=Torrent layer7-protocol=p2p-DHT add action=drop chain=Check_Torrent comment=Torrent layer7-protocol=p2p-a add action=drop chain=Check_Torrent comment=Torrent layer7-protocol=p2p-applejuice add action=drop chain=Check_Torrent comment=Torrent layer7-protocol=p2p-ares add action=drop chain=Check_Torrent comment=Torrent layer7-protocol=p2p-bittorrent add action=drop chain=Check_Torrent comment=Torrent layer7-protocol=p2p-directconnect add action=drop chain=Check_Torrent comment=Torrent layer7-protocol=p2p-edonkey add action=drop chain=Check_Torrent comment=Torrent layer7-protocol=p2p-fasttrack add action=drop chain=Check_Torrent comment=Torrent layer7-protocol=p2p-gnucleuslan add action=drop chain=Check_Torrent comment=Torrent layer7-protocol=p2p-gnutella add action=drop chain=Check_Torrent comment=Torrent layer7-protocol=p2p-goboogy add action=drop chain=Check_Torrent comment=Torrent layer7-protocol=p2p-hotline add action=drop chain=Check_Torrent comment=Torrent layer7-protocol=p2p-imesh add action=drop chain=Check_Torrent comment=Torrent layer7-protocol=p2p-kugoo add action=drop chain=Check_Torrent comment=Torrent layer7-protocol=p2p-mute add action=drop chain=Check_Torrent comment=Torrent layer7-protocol=p2p-napster add action=drop chain=Check_Torrent comment=Torrent layer7-protocol=p2p-openft add action=drop chain=Check_Torrent comment=Torrent layer7-protocol=p2p-poco add action=drop chain=Check_Torrent comment=Torrent layer7-protocol=p2p-pplive add action=drop chain=Check_Torrent comment=Torrent layer7-protocol=p2p-sites add action=drop chain=Check_Torrent comment=Torrent layer7-protocol=p2p-soulseek add action=drop chain=Check_Torrent comment=Torrent layer7-protocol=p2p-tesla add action=drop chain=Check_Torrent comment=Torrent layer7-protocol=p2p-thecircle add action=return chain=Check_Torrent add action=drop chain=Check_Stream_Media layer7-protocol=youtube add action=drop chain=Check_Stream_Media layer7-protocol=http-video add action=drop chain=Check_Stream_Media layer7-protocol=meda-pplive add action=drop chain=Check_Stream_Media layer7-protocol=media-1 add action=drop chain=Check_Stream_Media layer7-protocol=media-2 add action=drop chain=Check_Stream_Media layer7-protocol=streaming1 add action=drop chain=Check_Stream_Media layer7-protocol=streaming2 add action=return chain=Check_Stream_Media add action=accept chain=Fwd_Bitrix comment="web site " protocol=icmp add action=accept chain=Fwd_Bitrix comment="web site " connection-limit=50,32 connection-state=new dst-port=80 protocol=tcp add action=accept chain=Fwd_Bitrix comment="web site " connection-state=new dst-port=22 protocol=tcp src-address=192.168.250.0/24 add action=drop chain=Fwd_Bitrix comment="web site "

Google
 
Kirill
02.01.2017
15:48:55
я доже пытаться эту пилену читатт не буду, моглиже сразу файлом выложить

 
igor
02.01.2017
15:49:23
пардон

 
щас в файл сделаю и скину

 
Kirill
02.01.2017
15:51:54
Шо эт ?

 
Kirill
02.01.2017
15:51:54
nfr gjlj';b

 
так подожди

 
/ip firewall filter add action=accept chain=forward dst-address=192.168.7.202 dst-port=80 protocol=tcp add action=drop chain=forward dst-address=192.168.7.202

 
при таком раскладе пинги не будут ходить

 
igor
02.01.2017
15:52:26
да

 
но пинги я убрал

 
перед этим

 
Kirill
02.01.2017
15:53:04
... муха

 
что тогда не работает та?Г

Google
 
Kirill
02.01.2017
15:53:27
и как ты это определяешь?

 
igor
02.01.2017
15:53:43
add action=accept chain=forward dst-address=192.168.7.202 dst-port=80 protocol=tcp

 
вот так работает

 
кажется начал понимать

 
add action=accept chain=forward dst-address=192.168.7.202 dst-port=80 protocol=tcp ставлю new соединие и все

 
отваливается

 
Kirill
02.01.2017
15:54:38
как ты определяешь что не работает именно правило в микротике

 
igor
02.01.2017
15:54:41
когда без new все работает

 
Kirill
02.01.2017
15:54:57
аааааааааа

 
igor
02.01.2017
15:55:00
Счетчик пакетов

 
че то запутался снова

 
но кое что начало проявляться

 
пробывал в пользовательские цепочки загонять

 
там тоже счетчики не бегут

 
еще как

 
вроде с iptables работал

 
все норм

 
а тут приехали

 
Kirill
02.01.2017
15:57:11
ты можешь объяснить цель того, что ты пытаешься сделасть

 
?

Google
 
igor
02.01.2017
15:57:39
доступ на веб сервер дать снаружи

 
пока пытаюсь достучатьс япо лкоалке

 
без проброса

 
Kirill
02.01.2017
15:58:35
что у тебя за микротик?

 
igor
02.01.2017
15:58:44
ccr1016-12g

 
Kirill
02.01.2017
15:59:39
чем тебя не устраивает ?

 
add action=accept chain=forward dst-address=192.168.7.202 dst-port=80 protocol=tcp

 
а вообще просто разрешить dst-nat правила

 
в фильтре

 
igor
02.01.2017
16:00:17
Через некоторое время не работает

 
вот как то мистика

 
эт че такое

 
igor
02.01.2017
16:01:20
хм

 
Kirill
02.01.2017
16:01:56
и совет тебе опелирую интерфейсами в правилах, иначи сильную нагрзку на проц получишь

 
igor
02.01.2017
16:02:20
и совет тебе опелирую интерфейсами в правилах, иначи сильную нагрзку на проц получишь
+

 
понял

 
Kirill
02.01.2017
16:02:50
а вот это похоже на приступ моньбяка

 
add action=accept chain=input comment="Accept established connections" connection-state=established add action=accept chain=input comment="Accept related connections" connection-state=related add action=drop chain=input comment="Drop invalid connections" connection-state=invalid add action=accept chain=output comment="Accept established connections" connection-state=established add action=accept chain=output comment="Accept related connections" connection-state=related add action=drop chain=output comment="Drop invalid connections" connection-state=invalid add action=accept chain=forward comment="Accept established connections" connection-state=established add action=accept chain=forward comment="Accept related connections" connection-state=related add action=drop chain=forward comment="Drop invalid connections" connection-state=invalid add action=accept chain=output

 
особенно последнее правило

 
igor
02.01.2017
16:03:19
add action=accept chain=output а что тут такого

Google
 
igor
02.01.2017
16:03:33
с самого микрота доступ хоть куда

 
исходящий

 
Kirill
02.01.2017
16:03:42
а зачем тогда ?

 
add action=accept chain=output comment="Accept established connections" connection-state=established add action=accept chain=output comment="Accept related connections" connection-state=related

 
и вот это отдльным особняком ))

Admin
ERROR: S client not available

 
Kirill
02.01.2017
16:04:10
add action=drop chain=output comment="Drop invalid connections" connection-state=invalid

 
igor
02.01.2017
16:04:32
Блин

 
точно ))))

 
Вчера с парнягой знакомым спорили

 
add action=accept chain=forward comment="Accept established connections" connection-state=established add action=accept chain=forward comment="Accept related connections" connection-state=related вот эти правила у него идут почти последними

 
сперва проверяет tcp пакеты с установленными флагами new

 
как лучше всего делать?

 
че то засомневался после спора с ним

 
Sergey
02.01.2017
16:32:13
add action=accept chain=forward comment="Accept established connections" connection-state=established add action=accept chain=forward comment="Accept related connections" connection-state=related вот эти правила у него идут почти последними
А зачем два отдельных правила?

 
Вообще, логичнее их наоборот первыми делать, чтобы под доп фильтрацию не попали в других правилах

 
igor
02.01.2017
16:35:53
Как я понял в фаерволле применяется условие и

 
если в одном правиле established related то пакет должен удовлетворять обоим условиям

 
Sergey
02.01.2017
16:39:25
На всякий случай сверился с маном по iptables, там ИЛИ

 
igor
02.01.2017
16:40:17
ммм

Google
 
igor
02.01.2017
16:40:22
Интересно

 
Sergey
02.01.2017
16:57:37
Ну как бы логично: есть 4 стейта и они взаимоисключающие. Разрешаем related и established, блочим invalid и в цепочке остаётся только new.

 
Ну есть ещё untracked, если используется raw-цепочка

 
Илья
02.01.2017
17:26:20
туплю: есть 2 филиала за серыми ip, железка в ЦОД c белым ip, надо эти сети подружить через железку

 
поднял pptp сервер, создал учетки, подключил, далее думал ipip через адреса, выданные pptp, но пинга между филиальскими железками нет

 
Alexander
02.01.2017
17:27:14
туплю: есть 2 филиала за серыми ip, железка в ЦОД c белым ip, надо эти сети подружить через железку
ospf

 
fx00f
02.01.2017
17:28:43
ospf
+

 
поднял pptp сервер, создал учетки, подключил, далее думал ipip через адреса, выданные pptp, но пинга между филиальскими железками нет
Сети кто маршрутизировать будет? Те адреса /32 выдаются

 
Илья
02.01.2017
17:30:24
Сети кто маршрутизировать будет? Те адреса /32 выдаются
вижу, что 32, не понял какой марштут делать

 
fx00f
02.01.2017
17:30:50
ospf поднимите лучше сразу

 
Илья
02.01.2017
17:31:12
т.е. первый шаг с pptp был верным?

 
fx00f
02.01.2017
17:32:00
Да, тока с ipip уже перебор

 
Uml
02.01.2017
18:14:41
Dhcp alert нашел посторонний dhcp сервер.как определить что за абонент имея только мак. В арпах его нет.только под 192.168.0.1

 
Tem
02.01.2017
18:17:09
Для начала по маку узнать вендора

 
fx00f
02.01.2017
18:21:39
Умные свичи + dhcp snooping наше все) анальное ограждение

 
Школьники)

Страница 546 из 3964