noxcha

Это понятно, поэтому микротик не может изучить заголовки пакетов, вариант блокировки этого дела есть?

Использую L7 для блокировки соц сетей и аннонимайзеров, все работает хорошо, однако если заходить так, https://vk.com, то vk открывается, как его правильно заблокировать??? /ip firewall layer7-protocol add comment="Block social setej" name=social regexp="^.*(get|GET).+(vk.com|vkont\ akte|odnoklassniki|facebook|fall-in-love|loveplanet|my.mail.ru|ok.ru|instagr\ am.com|aradero.ru|serqus.ru|amaleto.ru|gredor.ru|parsekus.ru|fastbuh.ru|forf\ olks.ru|recker.ru|arendadorogo.ru|vkdor.ru|vos3.ru|skrud.ru|ferdark.ru|razar\ d.ru|berock.ru|daidostup.ru|cameleo.ru|anonim|nbla.ru|westfeed.ru|nogivkrovi\ .ru|kproxy.com|soborate.ru|paleazzo.ru|harrachov.ru|anonimizer.ru|twitter|vk\ ).*\$" /ip firewall filter add action=reject chain=forward comment="Block Social" layer7-protocol=social \ protocol=tcp reject-with=tcp-reset src-address-list=CU_BLOCK_SOCIAL

Можно удалить тему, сам разобрался, поспешил с темой...

Имею следующие правила /ip firewall filter add chain=input comment="Allow Winbox" dst-port=8291 protocol=tcp src-address=\ 192.168.0.0/22 add chain=forward comment="Pochta pri otsutstvii interneta" dst-port=110 \ protocol=tcp src-address-list="NO INTERNET" add chain=forward dst-port=25 protocol=tcp src-address-list="NO INTERNET" add chain=forward dst-port=465 protocol=tcp src-address-list="NO INTERNET" add chain=forward dst-port=993 protocol=tcp src-address-list="NO INTERNET" add action=drop chain=input comment="Drop input WAN" in-interface=SZT protocol=\ icmp add chain=input comment="Allow PPTP" dst-port=1723 protocol=tcp add chain=input protocol=gre add chain=input comment="Allow Established connections" connection-state=\ established add action=drop chain=input protocol=tcp src-address-list="NO INTERNET" add action=drop chain=forward src-address-list="NO INTERNET" add action=drop chain=forward layer7-protocol=social src-address-list=\ CU_BLOCK_SOCIAL add action=drop chain=input comment="Just DROP" in-interface=SZT Раньше при добавлении в список NO INTERNET ip адреса пользователя интернет у пользователя пропадал, но outlook ходил в инет по портам 25, 110, 465, 993 потом после борьбы с открытыми портами это перестало работать тк поменялись правила, не могу понять что сделать что б описанная выше схема заработала вновь.

Разобрался, косяки с правилами фаера.

Перестаю подключаться только в том случае если отключаю PPTP сервер, в остальных случаях подключаюсь сходу.

Отключил правило нат для 1723, отключил правила в firewall и.... спокойно подключаюсь по vpn к микротику.

Со всеми вопросами сам разобрался, остался еще один. При сканировании портов из инета я вижу следующее Сканирование... Хост:внешний ip: порт :53 (domain) открыт Хост:внешний ip: порт :1723 (pptp) открыт Хост:внешний ip: порт :2000 (Unknown) открыт Хост:внешний ip: порт :8080 (Unknown) открыт Хост:внешний ip: порт :8291 (Unknown) открыт Однако мною открыт только один порт, 1723, все остальное видно снаружи, причем на порт 8080 (web морда роутера) и 8291 (winbox), подключится снаружи я не могу. Вот скрин правил нат.

Какое из этих правил блокирует доступ к расшаренным ресурсам? http://netflow.by/blog/item/131-mikrotik-nastroika-firewall

Забыл написать, до того как я перевел локалку с vlan на физический интерфейс микротика, у меня было сделано vlan ами, так вот порт коммутатора куда был подключен микротик получал тегированный 10 vlan, но не был его участником, сейчас этот порт включен в 10 vlan, соответственно траффик от микротика идет туда нетегированный с физического eth1, на физический порт состоящий в 10 vlan. Может тут что не так?

По проблеме описанной выше. По проводам подключенным напрямую к микротику, в порт который я присоединил к своему бриджу получает ip от сервака, но ооочень долго, потом работает интернет, пингуется вся локалка, но доступа к сетевым дискам, компьютерам сети и тд нет совсем. Перетыкаю провод в коммутатор за микротиком, все начинает летать и открываться.

0dmin Линию настраиваете? У меня за микротиком тоже линия, проблем нет. /ip firewall nat add action=netmap chain=dstnat comment="Linia web 9786" disabled=no dst-port=\ 9786 in-interface=wan protocol=tcp to-addresses=192.168.1.9 to-ports=9786 Вот мое правило с вашим адресом линии.

Неа, такой маршрут только один, в интернет. Тут у меня еще возник вопрос. В субботу все сделал через vlan, а именно, по 306 vlan приходит инет, на нем PPPoE и уходит все это дело в локалку по 10 vlan, все работало без проблем. Сегодня решил повесить локалку на физический интерфейс, что успешно и сделал, теперь работает так, по 306 vlan приходит инет, на нем PPPoE и уходит все это дело в локалку через физический интерфейс eth1, куда и приходит vlan ами. Все опять же работает без проблем, за исключением одного НО. У меня на микротике 2 точки, физика и виртуалка, виртуалка работает без проблем, для нее dhcp на микротике, а вот физика не дает получить ip адрес, для нее dhcp это виртуальный сервак в локалке. Те аутенфикация проходит без проблем, а получение ip никак. Если включаю в бридж любой физический lan порт микротика, то все ОК, а вот с wi-fi беда. Что я сделал не так?

Если я проброс порта отключаю, то подключится я совсем не могу, хотя раньше без ната ходил. Думаю какая то мелочь, которую я забыл сделать даёт такой результат, а что забыл сделать не пойму.

Спасибо, сделал, посмотрю как будет себя вести. Мне бы понять почему у меня фаер перестал работать относительно порта 1723, сначала перестал пускать, а теперь при пробросе порта пускает, но на фаер не реагирует.