среда, 20 декабря 2017 г.
суббота, 16 декабря 2017 г.
пятница, 15 декабря 2017 г.
пятница, 8 декабря 2017 г.
четверг, 7 декабря 2017 г.
суббота, 2 декабря 2017 г.
четверг, 30 ноября 2017 г.
четверг, 23 ноября 2017 г.
среда, 22 ноября 2017 г.
понедельник, 20 ноября 2017 г.
суббота, 18 ноября 2017 г.
пятница, 17 ноября 2017 г.
четверг, 17 августа 2017 г.
среда, 16 августа 2017 г.
129. Mikrotik Allow Access From Specific Country
Script:
Download Address List file to Router:
/tool fetch url=http://www.iwik.org/ipcountry/mikrotik/KH
Import IP Address from File to Address-List:
/import file-name=KH
Filter Rule:
/ip firewall filter add chain=forward in-interface=ether1_WAN src-address-list=!KH action=drop comment="Allow Only access From My Country" disabled=no
Ref:
http://www.ip2location.com/free/visitor-blocker
http://www.iwik.org/ipcountry/
http://www.nationsonline.org/oneworld/country_code_list.htm
Download Address List file to Router:
/tool fetch url=http://www.iwik.org/ipcountry/mikrotik/KH
Import IP Address from File to Address-List:
/import file-name=KH
Filter Rule:
/ip firewall filter add chain=forward in-interface=ether1_WAN src-address-list=!KH action=drop comment="Allow Only access From My Country" disabled=no
Ref:
http://www.ip2location.com/free/visitor-blocker
http://www.iwik.org/ipcountry/
http://www.nationsonline.org/oneworld/country_code_list.htm
www.iwik.org/ipcountry/mikrotik/RU
www.iwik.org/ipcountry/mikrotik/RU
/ip firewall address-list remove [/ip firewall address-list find list=RU]
Как разрешить доступ в интернет только DHCP адресам
Как разрешить доступ в интернет только DHCP адресам
понедельник, 14 августа 2017 г.
воскресенье, 13 августа 2017 г.
6.1. Как ходит трафик в Микротик?
Это нужно знать наизусть. Иначе можно многое напутать...
Представьте комп с двумя сетевыми картами. Будем называть его ШЛЮЗ.
В одну карту входит интернет. Со второй выходит к свичу.
А к свичу подключены другие компы.
За этими компами люди в интернете лазяют.
Так вот. Трафик идущий от людей в интернет и обратно - это для шлюза транзитный-проходящий трафик FORWARD
Это левая диаграмма. Как раз наш случай с Микротик.
А если на самом шлюзе запускаются браузер, почта и пр.
То это уже Входящий и Исходящий трафик для шлюза. Не транзитный. INPUT и OUTPUT.
Т.к. конечная точка всех пакетов - это сам шлюз, а не компы за шлюзом.
Это левая и правая диаграмма, только без центрального блока FORWARD.
В Микротике правая практически никогда не задействована.
Так что про INPUT-OUTPUT забудьте.
Только для блокировки входящих пакетов.
"И на кой черт мне это нужно?" Спросите Вы.
Все просто. Зайдите в IP - Firewall.
Там есть 3 вкладки Filter, NAT и Mangle.
В Filter и Mangle есть все 3 цепочки - Prerouting, Forward и Postrouting. И еще 2 цепочки Input Output.
В NAT есть только цепочки DstNat и SrcNat.
Filter - разрешает-запрещает пакеты, совпадающие по условию записи в Filter.
NAT - это чаще всего правило SrcNat-Masquerade - чтоб люди могли ходить в интернет.
И DstNat-DstNat - чтоб с интернета можно было добраться до компьютеров и роутеров в вашей сети.
Mangle - продвинутый маркировщик пакетов.
Предположим клиент вашей сети имеет адрес локальный 192.168.0.2
а IP Микротика 80.80.80.1 - это интернет адрес.
Когда клиент запрашивает веб-страницу, к нему сыплятся пакеты.
Но не на его адрес, а на адрес Микротика. Потому как адрес 192.168.0.2 локальный, и само собой напрямую на этот адрес прийти ничего не может.
Т.е. Микротику приходит пакет с Dst.Address - 80.80.80.1
1. Mangle Prerouting, Nat Prerouting - правила в этих 2 цепочках Самые первые обрабатывают пакет.
Никаких локальных адресов в пакете нет, только внешний адрес Микротика!
2. Далее срабатывает Firewall - NAT.
Происходит подмена (из таблицы NAT) для входящих пакетов внешнего IP на локальный.
или DstNat (это для тех, кто пытается достучаться до локальных IP-адресов из интернета)
Т.е. теперь Dst.Address пакета не 80.80.80.1, а уже локальный адрес клиента - 192.168.0.2.
3. Теперь срабатывают правила в цепочках Mangle Forward и Filter Forward.
Тут уже можно фильтровать клиентов вашей сети.
4.Далее снова срабатывает NAT.
Здесь создаются записи в таблице NAT для исходящих пакетов. Т.е. срабатывает SRC-NAT.
По этим записям будет происходить обратная замена IP, когда придут ответные пакеты.
И для исходящих пакетов происходит подмена локального IP 192.168.0.2 на IP Микротика 80.80.80.1.
5. И последний этап - Mangle Postrouting, Nat Postrouting.
Никаких локальных адресов в пакете нет, только внешний адрес Микротика!
Далее все это направляется в шейпер. Queue Tree и Simple Queue.
Для Транзитного траффика: сеть -> mangle PREROUTING -> nat PREROUTING -> mangle FORWARD -> filter FORWARD -> mangle POSTROUTING -> nat POSTROUTING -> сеть
6.2. Firewall Filter — блокируем и разрешаем.
Здесь создаются блокирующие и разрешающие правила.
Если записей никаких нет - то все разрешено.
Порядок записей имеет значение.
Проверка правил происходит сверху вниз.
Если пакет соответствует правилу, то дальнейшая проверка не происходит, если конечно не стоит галка PassTrugh
Есть 2 варианта.
Мягкий - Добавлять только запрещающие правила. Все остальное разрешать.
Жесткий - поставить запрещающее правило на все. А сверху добавлять разрешающие.
Блокируется или входящие пакеты или исходящие.
Важно!
1. Никогда не пытайтесь одним правилом блокировать входящие и исходящие пакеты одновременно.
Это ошибка.
Просто создайте при необходимости 2 правила - на входящие и исходящие пакеты.
А лучше блокировать только исходящие пакеты еще на взлете. Входящих пакетов само собой уже не будет.
Да и Роутер разгрузится от лишнего входящего траффика.
2. Есть 2 типа пакетов - входящие и исходящие.
Важно! Src.Address и Dst.Address в правилах меняются местами. В зависимости от направления движения пакета.
Входящие - это из интернета к нам.
Src.Address - это интернет-адрес отправителя (сервера в интернете).
Dst.Address - это интернет-адрес Микротика (получателя). Если это правило в цепочке PreRouting. или
Dst.Address - это локальный адрес клиента (получателя). Если это правило в цепочке Forward или PostRouting.
Исходящие - это от нас в интернет.
Src.Address - это интернет-адрес отправителя (Микротика) . Если это правило в цепочке PostRouting. или
Src.Address - это локальный адрес клиента (отправителя). Если это правило в цепочке Forward или Prerouting.
Dst.Address - это интернет-адрес получателя (сервера в интернете).
3. В правилах всегда указывайте Out. Interface или In. Interface.
Причем,
если указываете In. Interface - LAN1, то это исходящий трафик.
Значит Dst.Address - это должен быть адрес интернет-ресурса. А Src.Address - это адрес вашей локалки или Микротика
если указываете Out. Interface - LAN1, то это входящий трафик.
Значит Dst.Address - это должен быть адрес вашей локалки или Микротика. А Src.Address - адрес интернет-ресурса.
Это очень важно!
То же самое (п. 1 и 2) касается и Mangle.