Роутер Mikrotik RB750G

Пэтро · 22 февраля, 2013

ip-firewall ?

kofr · 14 июля, 2013

Я понимаю,что тема уже устаревшая,но все же.

Объясните, плиз, зачем дубль следующих строк:

ip firewall filter add chain="forward" action="accept" src-address-list="Office" protocol="tcp" dst-port="5900" comment="Allow VNC"
ip firewall filter add chain="forward" action="accept" protocol="tcp" dst-port="25245" comment="Allow Torrent"
ip firewall nat add chain="dstnat" action="dst-nat" protocol="tcp" dst-address="109.87.xxx.yyy" dst-port="25245" to-addresses="192.168.0.10" to-ports="25245" comment="DST-NAT for Torrents" 
ip firewall nat add chain="dstnat" action="dst-nat" protocol="tcp" dst-address="109.87.xxx.yyy" dst-port="5900" to-addresses="192.168.0.10" to-ports="5900" comment="DST-NAT for VNC"

Ведь, НАТ срабатывает первым и в нем можно указать dst-address-list="Office"

SlavaD · 14 июля, 2013

Ведь, НАТ срабатывает первым и в нем можно указать dst-address-list="Office"

DNAT сразу на несколько IP ? оригинально'с... ну или я ваш вопрос не понял

kofr · 14 июля, 2013

DNAT сразу на несколько IP ? оригинально'с... ну или я ваш вопрос не понял

Почему же сразу на несколько? Если Вы обратите внимание на последние 2 строчки,то заметите,что можно указать диапазон откуда и куда (на конкретный ИП). Здесь же можно организовать перенаправление портов

SlavaD · 14 июля, 2013

Если Вы обратите внимание на последние 2 строчки,то заметите,что можно указать диапазон откуда и куда

В двух последних строчках указан исключительно адрес получателя, тобишь "куда" (dst-address="109.87.xxx.yyy"), "откуда" (src) в фильтре там не используется.

Здесь же можно организовать перенаправление портов

Оно в них как раз и реализовано, посредством DNAT.

kofr · 14 июля, 2013

В двух последних строчках указан исключительно адрес получателя, тобишь "куда" (dst-address="109.87.xxx.yyy"), "откуда" (src) в фильтре там не используется.

Оно в них как раз и реализовано, посредством DNAT.

тю,точно! :blush:

4ekist071 · 1 августа, 2013

Здравствуйте,надеюсь хоть тут найду ответ=)

Дано:

microtiK rb750(5 интерфейсов)

2 провайдера:

оба выделяют параметры по dhcp,

первый подключен в ether1-gateway1

второй в ether2-gateway2

ether3 - master-local

ether4,5 - slave local

необходимо: реализовать одновременное использование двух каналов,людям из локальной сети. Т.е. чтобы пакеты ходили одновременно и через ether1 и через ether2. При этом,если один из них вырубается,все начинает ходить через другого.

По факту -работает 1,второй нет,отрубается первый(физически,линк на порту пропадает) - через несколько секунд начинает ходить трафик через второй,как научить микротик,что если,допустим,через 1 интерфейс не пингуется ya.ru/www.ru, то надо переключить все на другой интерфейс?а так же,что б когда пинговаться начало -перекидывало снова на оба интерфейса.

З.Ы.

или,что бы первый работал,второй как резерв,первый не пингуется - трафик начинал ходить через второй,потом возвращаясь на место?буду премного благодарен,уже четвертые сутки голову ломаю....

kofr · 1 августа, 2013

Здравствуйте,надеюсь хоть тут найду ответ=)
Дано:
microtiK rb750(5 интерфейсов)
2 провайдера:
оба выделяют параметры по dhcp,
первый подключен в ether1-gateway1
второй в ether2-gateway2
ether3 - master-local
ether4,5 - slave local
необходимо: реализовать одновременное использование двух каналов,людям из локальной сети. Т.е. чтобы пакеты ходили одновременно и через ether1 и через ether2. При этом,если один из них вырубается,все начинает ходить через другого.
По факту -работает 1,второй нет,отрубается первый(физически,линк на порту пропадает) - через несколько секунд начинает ходить трафик через второй,как научить микротик,что если,допустим,через 1 интерфейс не пингуется ya.ru/www.ru, то надо переключить все на другой интерфейс?а так же,что б когда пинговаться начало -перекидывало снова на оба интерфейса.
З.Ы.
или,что бы первый работал,второй как резерв,первый не пингуется - трафик начинал ходить через второй,потом возвращаясь на место?буду премного благодарен,уже четвертые сутки голову ломаю....

Например, ТЫЦ

А вообще, гугл - наш другл

4ekist071 · 1 августа, 2013

Например, ТЫЦ

А вообще, гугл - наш другл

спасибо за ответ,но это я видел - и это не то=( бывает,что dns и шлюзы вполне отвечают на пинги -а проблема у провайдера выше происходит.

Neinsager · 1 августа, 2013

4ekist071

Если обратили внимание — там пингуют корневые DNS-сервера, а не провайдерские.

kofr · 1 августа, 2013

спасибо за ответ,но это я видел - и это не то=( бывает,что dns и шлюзы вполне отвечают на пинги -а проблема у провайдера выше происходит.

ну,а в чем тогда проблема? пингуйте проблемные узлы,а не шлюзы :)

4ekist071 · 1 августа, 2013

4ekist071
Если обратили внимание — там пингуют корневые DNS-сервера, а не провайдерские.

если только четыре восьмерки использовать.но снова -не то,это например с перебросом юзеров с одного на второй канал, а приоритетно,что бы оба работали,причем одновременно.

4ekist071 · 1 августа, 2013

ну,а в чем тогда проблема? пингуйте проблемные узлы,а не шлюзы :)/>

знать бы еще где этот проблемный узел образует. пинговать какой-нибудь айпи из внешки - 100% рабочий,или dns имя?будет он пингвать днс имя из скрипта?

Neinsager · 1 августа, 2013

а приоритетно,что бы оба работали,причем одновременно

Дык.

...routing-mark=peterstar используется для того чтоб часть пользователей по дефолту пускать через бэкап канал (как метить их в mangle тут не привожу, конкретно к делу не относится). Если бэкап канал отвалится, то эти пользователи пойдут через основной. Ну и наоборот, если основной канал отвалится, все пользователи пойдут через бэкап...

Это, как я понимаю, именно ваш вариант — когда оба аплинка рабочие, то часть пользователей ходит через первый шлюз, а другая часть — через второй.

svip · 3 февраля, 2014

Это, конечно, лишь база... По уму надо бы пропускать не все udp-пакеты, а только то, что относится к торрентам и IPTV. Надо бы сделать балансировку нагрузки на полосу, чтобы, к примеру, закачки торрентов не мешали комфортному web-серфингу и просмотру ТВ... Совершенно за кадром остался вопрос резервирования каналов... В общем — есть еще где поработать

не могли бы Вы дописать про все это более подробно. Я думаю многим бы пригодилось.

Хотя бы стандартные дефолтные варианты.

Вот по пунктам.

1) iptables

2) шейпер

3) резервирование каналов

svip · 3 февраля, 2014

настроил все по первой статье, но извне все порты закрыты.

вроде iptables-aми открывали 22 порт.

nmap 109.87.145.240

Starting Nmap 5.00 ( http://nmap.org ) at 2014-02-03 17:01 EET
All 1000 scanned ports on 240.145.xxx.yyy.triolan.net (240.145.xxx.yyy) are filtered

Nmap done: 1 IP address (1 host up) scanned in 30.26 seconds

по статье DROP получается последний.

пробовал и последним и первым - нет результата.

Если выключаю DROP INPUT то 22 ссш работает.

подскажите как правильно.

Не хочу открывать все но CCШ нужен

kofr · 3 февраля, 2014

настроил все по первой статье, но извне все порты закрыты.
вроде iptables-aми открывали 22 порт.
nmap 109.87.145.240

Starting Nmap 5.00 ( http://nmap.org ) at 2014-02-03 17:01 EET
All 1000 scanned ports on 240.145.xxx.yyy.triolan.net (240.145.xxx.yyy) are filtered

Nmap done: 1 IP address (1 host up) scanned in 30.26 seconds
по статье DROP получается последний.
пробовал и последним и первым - нет результата.

Если выключаю DROP INPUT то 22 ссш работает.

подскажите как правильно.
Не хочу открывать все но CCШ нужен

дропы надо ставить после всех правил в пределах ЦЕПОЧКИ!Triolan - выход в интернет?а ИП белый?Пинг есть извне?

WereWolf · 3 февраля, 2014

а такой нескромный вопрос назрел-в WiFi надо создать вторую сеть, типа гостевой, чтобы не видела основную, но интернет был в наличествии...

kofr · 3 февраля, 2014

а такой нескромный вопрос назрел-в WiFi надо создать вторую сеть, типа гостевой, чтобы не видела основную, но интернет был в наличествии...

Первое,что нашел

а рулить доступом в интернет - файрволом

WereWolf · 3 февраля, 2014

пробовал-адреса раздаёт, а норм доступ в паутину не получается раздать(

kofr · 3 февраля, 2014

пробовал-адреса раздаёт, а норм доступ в паутину не получается раздать(

в файрволе создаете 2 правила

chain=forward action=accept in-interface="Сеть ВиФИ" out-interface="Интернет"
chain=forward action=accept in-interface="Интернет" out-interface="Сеть ВиФи"

Что-то типа этого :)/> А вообще,надо видеть все правила,которые есть

WereWolf · 3 февраля, 2014

правила идут стандартные, автоматом сгенерёные... добавляю вторую сеть-аппаратик начинает колбасить(

kofr · 3 февраля, 2014

правила идут стандартные, автоматом сгенерёные... добавляю вторую сеть-аппаратик начинает колбасить(

если начинает колбасить:

1. что-то в правилах

2. возможно,что-то с ИП-шниками на интерфейсах

svip · 3 февраля, 2014

дропы надо ставить после всех правил в пределах ЦЕПОЧКИ!Triolan - выход в интернет?а ИП белый?Пинг есть извне?

починил.

забыл что поставил только для пула рабочих айпи а тестил с хостинга.

Все работает. Единственное что смущало дропы в конце.

Oskar · 12 июня, 2014

С некоторых пор наш провайдер сделал какое-то извращение - интернет абонентам включается только по назначенному DHCP-сервером IP адресу. Если у абонента прописан абсолютно такой же IP, но статический - интернета ему не видать. Но проблема в том, что аплинк у этого провайдера часто ложится, связи с сервером нет, и тогда WAN-порт вообще "болтается в воздухе" - у него нет адреса, соответственно нет и локальной сети (а вот она как раз нужна!). Возможно ли сделать так, чтобы при недоступности шлюза, IP сохранялся (до его появления)?

Войти

Роутер Mikrotik RB750G

Рекомендуемые сообщения

Пэтро

kofr

SlavaD

kofr

SlavaD

kofr

4ekist071

kofr

4ekist071

Neinsager

kofr

4ekist071

4ekist071

Neinsager

svip

svip

kofr

WereWolf

kofr

WereWolf

kofr

WereWolf

kofr

svip

Oskar

Присоединяйтесь к обсуждению

Обзор

Активность