Jump to content
  • 0

Достъп до рутер


filipov

Question

 
[admin@MikroTik] /ip firewall filter> print 
Flags: X - disabled, I - invalid, D - dynamic 
 0    ;;; default configuration
      chain=input action=accept protocol=icmp log=no log-prefix="" 
 
 1    ;;; default configuration
      chain=input action=accept connection-state=established,related log=no log-prefix="" 
 
 2    ;;; default configuration
      chain=input action=drop in-interface=ether1-gateway log=no log-prefix="" 
 
 3    ;;; default configuration
      chain=forward action=accept connection-state=established,related log=no log-prefix="" 
 
 4    ;;; default configuration
      chain=forward action=drop connection-state=invalid log=no log-prefix="" 
 
 5    ;;; default configuration
      chain=forward action=drop connection-state=new connection-nat-state=!dstnat 
      in-interface=ether1-gateway log=no log-prefix=""
Ako правило 2 е активно, не мога да достъпвам рутера от външна мрежа, нито през Winbox, нито по http. Притеснявам се да го спра, понеже е от дефолтната конфигурация на рутера.  Какво да направя за да мога да имам достъп от друга мрежа?
Link to comment
Share on other sites

6 answers to this question

Recommended Posts

  • 0

Колега, айде сега да не чакаме на готово и малко да помислим върху правилата ти във защитната стена.

надявам се правим разлика м/у думичките accept и drop.  Ако не е така то първата значи приемам, а втората отхвърлям.

следователно правило 0 приема всички протоколи=icmp (или с други още по прости думи icmp=пинг)

правило 1 приема всички вече осъществени връзки

правило 2 ОТХВЪРЛЯ всички заявки които идват от in-interface=ether1-gateway. т,е със още про прости думи забранява външни конекции.

след като прочетеш тези 5 мой реда, нека помислим как може да се справим с "проблема". веднага се сещам за 2 варианта, но ти и един да се сетиш ще си решиш проблема

Теория - това е когато знаете всичко, но нищо не работи

Практика - това е когато всичко работи, но не знаете защо

При нас съчетаваме теорията с практиката - НИЩО не работи и нямаме понятие защо!!!

Link to comment
Share on other sites

  • 0

Преместих правило 2 което е drop да бъде най-отдолу т.е. последно и мога да достъпвам рутера от външна мрежа. Не съм убеден, обаче, че това е правилният начин.

Edited by filipov
Link to comment
Share on other sites

  • 0
  • Administrator

има логика и то елементарна като да си влезнеш у вас 
първо има заключена врата т.е. неможе да влезнеш
второ има ключалка а носиш ли си ключа

трето имаш ключ но той ли е 

обаче ако има глобално правило т.е. има заключен врата на входа 

дори и предходните условия да са изпълнени няма как да минеш преди да влезнеш във входа

Харесай поста ^^^
acer.gif htc.gifsigpic4024_2.gif

Форумът е за взаимопомощ а не за свършване на чужда работа


ɹɐǝɥ uɐɔ noʎ ǝɹoɯ ǝɥʇ 'ǝɯoɔǝq noʎ ɹǝʇǝınb ǝɥʇ

Link to comment
Share on other sites

  • 0

на теория го знам, но на практика, не съм сигурен дали е така. За това подписа на Миро е 101% верен, не само за мен :)

Благодаря и на двама ви

Link to comment
Share on other sites

  • 0

Първо, колега, като начало е добре да си разглеждаш правилата по вериги, в случая - input. Това e веригата която отговаря за конекциите КЪМ рутера, forward отговаря за конекциите ПРЕЗ рутера. С други думи избери само input и работи там.

После си създай правило с accept, само за теб, тоест за IP-адреса, от който ще го достъпваш. Да е достъпен отвсякъде не е добра идея. Ако ще влизаш от различни адреси, разреши само SSH и то на някой друг порт, не 22.

Най-долу винаги е drop - спира всичко, което не искаш да ти влиза в рутера. По-натам сигурно ще искаш да добавиш и още разрешителни правила, например за DNS, NTP или нещо друго. Тях също ще качиш НАД drop, защото след него са безпредметни.

Така действат веригите на firewall-а, по реда на номерата. Всяко следващо правило работи с това, което е останало от предните.

 

Същото важи и за другите вериги, например forward, където вероятно ще добавиш много правила с времето и трябва да си особено внимателен, защото това ти е трафика през рутера. Едно правило drop, неумело качено нагоре, може да ти блокира целия трафик.

  • Like 1
Link to comment
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...

Important Information

By using this site, you agree to our Terms of Use.