Jump to content

Блокировка ip

sawa1982
 Share

Recommended Posts

sawa1982

sawa1982

Posted
Posted

Приветствую, подскажите новичку как правильно блокировать ip адресс?

Имел ранее другой бренд проблем небыло, а тут сижу и гуглю уже 3 дня и ничего не получается...

Просто требуется огородится от некоторых айпи\подсетей

sawa1982

sawa1982

Posted
  • Author
Posted

Читал я и не один раз, ну не получается у меня. Поэтому я и обратился на форум...

 

add address=1.2.3.4 disabled=no list=test

add action=drop chain=forward in-interface=ether1 src-address-list=test

 

и

 

add chain=forward src-address=1.2.3.4 action=drop

 

Подскажите будьте добры

nkusnetsov

nkusnetsov

Posted
Posted

sawa1982, тут надо различать, что именно мы хотим защитить.

1) "chain=forward" для транзитного трафика идущего через роутер "насквозь"

2) "chain=input" для трафика идущего непосредственно на сам роутер

Добавляем адрес в список:

"/ip firewall address-list add address=1.1.1.1 list=blacklist"

Блокируем входящие на роутер:

"/ip firewall filter add action=drop chain=input src-address-list=blacklist"

nkusnetsov

nkusnetsov

Posted
Posted (edited)

sawa1982, вот предельно упрощенная диаграмма.

System - ваш роутер

nic - сетевые интерфейсы (сетевые карты). Одна как правило, подключена к Интернет (Wan), другая к локальной сети (Lan)

post-133976-065315800 1479713636_thumb.gif

Edited by nkusnetsov
sawa1982

sawa1982

Posted
  • Author
Posted

nkusnetsov, input,forward с этим теперь все понятно спасибо, я пробывал менять но так и не помогло...

Сейчас же тоже самое, попросил товарища помочь проверить и вижу его на сервере как клиента с айпи 1.2.3.4

Добавляю это и никаких действий не происходит, он как сидел так и сидит, перезаходит и т.д

`/ip firewall address-list add address=1.2.3.4 list=blacklist`

`/ip firewall filter add action=drop chain=input src-address-list=blacklist`

nkusnetsov

nkusnetsov

Posted
Posted (edited)

sawa1982, нарисуйте схему. Где относительно микротика находится сервер, а где товарищ.

Можете к прикрепленному выше изображению дорисовать и указать адреса.

Edited by nkusnetsov
sawa1982

sawa1982

Posted
  • Author
Posted

nkusnetsov,

123123.png

На словах, иметься машина на которой стоит сервер.

Был приобретен микротик и к нему подключена одна эта машина, люди подключается из разных подсетей (не по локалке) к серверу и требуется некоторые айпи адресса ограничить.

nkusnetsov

nkusnetsov

Posted
Posted (edited)

sawa1982, подводя итоги, в том числе для других:

Правило

"/ip firewall filter add action=drop chain=input src-address-list=blacklist" не работало, т.к. трафик транзитный(сервер за микротиком). Резать нужно было в цепочке forward:

"/ip firewall filter add action=drop chain=forward src-address-list=blacklist"

Edited by nkusnetsov
sawa1982

sawa1982

Posted
  • Author
Posted

Верно, "/ip firewall filter add action=drop chain=forward src-address-list=blacklist"

Я изначально думал что идут первое правило запрет, а потом уже разрешает определенное.А вышло наоборот

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.