Jump to content
  • 0

Как е по-добре да се "опишат" филтрираните портове във Firewall-a ?


master

Въпрос

- да се прави отделно правило за всеки

- да се изредят със запетая

Примерно искам да забраня 111 и 135 и си мисля, че ако изредя със запетая в едно правило би трябвало да е по-добре за рутера от колкото да правя 2 правила. Или греша?

Редактирано от master

Analog Audio™

Адрес на коментара
Сподели в други сайтове

10 отговори на този въпрос

Recommended Posts

  • 0

би трябвало да е еднакво, въпроса е как ще ти е по-удобно да ги подредиш и различаваш после.

Теория - това е когато знаете всичко, но нищо не работи

Практика - това е когато всичко работи, но не знаете защо

При нас съчетаваме теорията с практиката - НИЩО не работи и нямаме понятие защо!!!

Адрес на коментара
Сподели в други сайтове

  • 0
  • Администратор

Има лимит в броя на правилата, следователно е по добре да са в едно правило,

по възможност, ползвай и адресните листи за да спестиш идентични действия.

Харесай поста ^^^
acer.gif htc.gifsigpic4024_2.gif

Форумът е за взаимопомощ а не за свършване на чужда работа


ɹɐǝɥ uɐɔ noʎ ǝɹoɯ ǝɥʇ 'ǝɯoɔǝq noʎ ɹǝʇǝınb ǝɥʇ

Адрес на коментара
Сподели в други сайтове

  • 0

От гледна точка на работата ще е еднакво но нали при повече правила се изисква повече процесорно време. Имам предвид от гледна точка на оптимизация. Иначе си прав, че малко по НЕ на гледно става със запетаята.

едит: Това с ограничението на броя на правилата не го знаех, колко е и имали връзка с лиценза и т.н.

Редактирано от master

Analog Audio™

Адрес на коментара
Сподели в други сайтове

  • 0
  • Администратор

за нагледност има коментари към правилата

лимита за бройката си е на iptables

Харесай поста ^^^
acer.gif htc.gifsigpic4024_2.gif

Форумът е за взаимопомощ а не за свършване на чужда работа


ɹɐǝɥ uɐɔ noʎ ǝɹoɯ ǝɥʇ 'ǝɯoɔǝq noʎ ɹǝʇǝınb ǝɥʇ

Адрес на коментара
Сподели в други сайтове

  • 0
  • Администратор

Не бе,написал е какво има предвид. Ти да нямаш предвид,че микротик ползват нещо различно от iproute/iptables или , че ядрата си ги пишат сами ?

Use since

OpenBSD 3.x

FreeBSD 4.x

Centos 5.x Debian 3.x Ubuntu 7.x

Аз съм фен на OpenWRT.

 

Горчивината от лошото качество остава дълго след като е преминало удоволствието от ниската цена.

_____________________________

___|____|____|____|____|____|__

_|____|____|____|____|____|____

___|____|_ Удряй _|____|____|__

_|____|___ главата ___|____|____

___|____|_ си тук!! |____|____|__

_|____|____|____|____|____|____

___|____|____|____|____|____|__

Адрес на коментара
Сподели в други сайтове

  • 0

Явно обаче нещо друго има тъй като не го филтрира дадения порт. На базата на това ги правя:

add chain=tcp protocol=tcp dst-port=111 action=drop comment="deny RPC portmapper"

Analog Audio™

Адрес на коментара
Сподели в други сайтове

  • 0

Ще пиша до съпорт да ги питам. Грозно е да се набеждават хората че ползват нещо-си наготово.

Адрес на коментара
Сподели в други сайтове

  • 0

Явно обаче нещо друго има тъй като не го филтрира дадения порт. На базата на това ги правя:

add chain=tcp protocol=tcp dst-port=111 action=drop comment="deny RPC portmapper"

я сложи това преди него

ip firewall filter add chain=forward action=jump jump-target=tcp protocol=tcp

Адрес на коментара
Сподели в други сайтове

  • 0

Сега работи но би ли разяснил защо, че нещо не мога да разбера. В примерите като гледах никъде го видях това.

И трябва ли да го повторя и за udp ?

едит: http://wiki.mikrotik.com/wiki/Manual:IP/Firewall/Filter тук го видях :)

Благодаря :)

Редактирано от master

Analog Audio™

Адрес на коментара
Сподели в други сайтове

Създайте нов акаунт или се впишете, за да коментирате

За да коментирате, трябва да имате регистрация

Създайте акаунт

Присъединете се към нашата общност. Регистрацията става бързо!

Регистрация на нов акаунт

Вход

Имате акаунт? Впишете се оттук.

Вписване
×
×
  • Създай нов...

Important Information

By using this site, you agree to our Terms of Use.