filipov Posted May 13, 2015 Report Share Posted May 13, 2015 [admin@MikroTik] /ip firewall filter> print Flags: X - disabled, I - invalid, D - dynamic 0 ;;; default configuration chain=input action=accept protocol=icmp log=no log-prefix="" 1 ;;; default configuration chain=input action=accept connection-state=established,related log=no log-prefix="" 2 ;;; default configuration chain=input action=drop in-interface=ether1-gateway log=no log-prefix="" 3 ;;; default configuration chain=forward action=accept connection-state=established,related log=no log-prefix="" 4 ;;; default configuration chain=forward action=drop connection-state=invalid log=no log-prefix="" 5 ;;; default configuration chain=forward action=drop connection-state=new connection-nat-state=!dstnat in-interface=ether1-gateway log=no log-prefix="" Ako правило 2 е активно, не мога да достъпвам рутера от външна мрежа, нито през Winbox, нито по http. Притеснявам се да го спра, понеже е от дефолтната конфигурация на рутера. Какво да направя за да мога да имам достъп от друга мрежа? Link to comment Share on other sites More sharing options...
0 Mupo neTkoB Posted May 13, 2015 Report Share Posted May 13, 2015 Колега, айде сега да не чакаме на готово и малко да помислим върху правилата ти във защитната стена. надявам се правим разлика м/у думичките accept и drop. Ако не е така то първата значи приемам, а втората отхвърлям. следователно правило 0 приема всички протоколи=icmp (или с други още по прости думи icmp=пинг) правило 1 приема всички вече осъществени връзки правило 2 ОТХВЪРЛЯ всички заявки които идват от in-interface=ether1-gateway. т,е със още про прости думи забранява външни конекции. след като прочетеш тези 5 мой реда, нека помислим как може да се справим с "проблема". веднага се сещам за 2 варианта, но ти и един да се сетиш ще си решиш проблема Теория - това е когато знаете всичко, но нищо не работи Практика - това е когато всичко работи, но не знаете защо При нас съчетаваме теорията с практиката - НИЩО не работи и нямаме понятие защо!!! Link to comment Share on other sites More sharing options...
0 filipov Posted May 13, 2015 Author Report Share Posted May 13, 2015 (edited) Преместих правило 2 което е drop да бъде най-отдолу т.е. последно и мога да достъпвам рутера от външна мрежа. Не съм убеден, обаче, че това е правилният начин. Edited May 13, 2015 by filipov Link to comment Share on other sites More sharing options...
0 Administrator 111111 Posted May 13, 2015 Administrator Report Share Posted May 13, 2015 има логика и то елементарна като да си влезнеш у вас първо има заключена врата т.е. неможе да влезнеш второ има ключалка а носиш ли си ключа трето имаш ключ но той ли е обаче ако има глобално правило т.е. има заключен врата на входа дори и предходните условия да са изпълнени няма как да минеш преди да влезнеш във входа Харесай поста ^^^ Форумът е за взаимопомощ а не за свършване на чужда работа ɹɐǝɥ uɐɔ noʎ ǝɹoɯ ǝɥʇ 'ǝɯoɔǝq noʎ ɹǝʇǝınb ǝɥʇ Link to comment Share on other sites More sharing options...
0 filipov Posted May 13, 2015 Author Report Share Posted May 13, 2015 на теория го знам, но на практика, не съм сигурен дали е така. За това подписа на Миро е 101% верен, не само за мен Благодаря и на двама ви Link to comment Share on other sites More sharing options...
0 stanstanyov Posted May 13, 2015 Report Share Posted May 13, 2015 Първо, колега, като начало е добре да си разглеждаш правилата по вериги, в случая - input. Това e веригата която отговаря за конекциите КЪМ рутера, forward отговаря за конекциите ПРЕЗ рутера. С други думи избери само input и работи там. После си създай правило с accept, само за теб, тоест за IP-адреса, от който ще го достъпваш. Да е достъпен отвсякъде не е добра идея. Ако ще влизаш от различни адреси, разреши само SSH и то на някой друг порт, не 22. Най-долу винаги е drop - спира всичко, което не искаш да ти влиза в рутера. По-натам сигурно ще искаш да добавиш и още разрешителни правила, например за DNS, NTP или нещо друго. Тях също ще качиш НАД drop, защото след него са безпредметни. Така действат веригите на firewall-а, по реда на номерата. Всяко следващо правило работи с това, което е останало от предните. Същото важи и за другите вериги, например forward, където вероятно ще добавиш много правила с времето и трябва да си особено внимателен, защото това ти е трафика през рутера. Едно правило drop, неумело качено нагоре, може да ти блокира целия трафик. 1 Link to comment Share on other sites More sharing options...
0 filipov Posted May 14, 2015 Author Report Share Posted May 14, 2015 stanstanyov - Благодаря за хубавото разяснение Link to comment Share on other sites More sharing options...
Question
filipov
Link to comment
Share on other sites
6 answers to this question
Recommended Posts
Create an account or sign in to comment
You need to be a member in order to leave a comment
Create an account
Sign up for a new account in our community. It's easy!
Register a new accountSign in
Already have an account? Sign in here.
Sign In Now