sawa1982 Posted November 20, 2016 · Report post Приветствую, подскажите новичку как правильно блокировать ip адресс? Имел ранее другой бренд проблем небыло, а тут сижу и гуглю уже 3 дня и ничего не получается... Просто требуется огородится от некоторых айпи\подсетей Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
nkusnetsov Posted November 21, 2016 · Report post sawa1982, вот ссылка на вики Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
sawa1982 Posted November 21, 2016 · Report post Читал я и не один раз, ну не получается у меня. Поэтому я и обратился на форум... add address=1.2.3.4 disabled=no list=test add action=drop chain=forward in-interface=ether1 src-address-list=test и add chain=forward src-address=1.2.3.4 action=drop Подскажите будьте добры Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
nkusnetsov Posted November 21, 2016 · Report post sawa1982, тут надо различать, что именно мы хотим защитить. 1) "chain=forward" для транзитного трафика идущего через роутер "насквозь" 2) "chain=input" для трафика идущего непосредственно на сам роутер Добавляем адрес в список: "/ip firewall address-list add address=1.1.1.1 list=blacklist" Блокируем входящие на роутер: "/ip firewall filter add action=drop chain=input src-address-list=blacklist" Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
nkusnetsov Posted November 21, 2016 (edited) · Report post sawa1982, вот предельно упрощенная диаграмма. System - ваш роутер nic - сетевые интерфейсы (сетевые карты). Одна как правило, подключена к Интернет (Wan), другая к локальной сети (Lan) Edited November 21, 2016 by nkusnetsov Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
sawa1982 Posted November 21, 2016 · Report post nkusnetsov, input,forward с этим теперь все понятно спасибо, я пробывал менять но так и не помогло... Сейчас же тоже самое, попросил товарища помочь проверить и вижу его на сервере как клиента с айпи 1.2.3.4 Добавляю это и никаких действий не происходит, он как сидел так и сидит, перезаходит и т.д `/ip firewall address-list add address=1.2.3.4 list=blacklist` `/ip firewall filter add action=drop chain=input src-address-list=blacklist` Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
nkusnetsov Posted November 21, 2016 (edited) · Report post sawa1982, нарисуйте схему. Где относительно микротика находится сервер, а где товарищ. Можете к прикрепленному выше изображению дорисовать и указать адреса. Edited November 21, 2016 by nkusnetsov Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
sawa1982 Posted November 23, 2016 · Report post nkusnetsov, На словах, иметься машина на которой стоит сервер. Был приобретен микротик и к нему подключена одна эта машина, люди подключается из разных подсетей (не по локалке) к серверу и требуется некоторые айпи адресса ограничить. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saiko Posted November 23, 2016 · Report post После создания правила оборвите все соединения на микротике к 1.2.3.4 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
sawa1982 Posted November 23, 2016 · Report post Дело в том что я перезагружал сам роутер после создания правила, также пробывал в строке коннектион удалять данный айпи Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Mystray Posted November 23, 2016 · Report post Поставьте запрещающее правило вверху, выше любых разрешающих. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
sawa1982 Posted November 23, 2016 · Report post Спасибо друзья за советы, разобрался теперь. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
nkusnetsov Posted November 23, 2016 (edited) · Report post sawa1982, подводя итоги, в том числе для других: Правило "/ip firewall filter add action=drop chain=input src-address-list=blacklist" не работало, т.к. трафик транзитный(сервер за микротиком). Резать нужно было в цепочке forward: "/ip firewall filter add action=drop chain=forward src-address-list=blacklist" Edited November 23, 2016 by nkusnetsov Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
sawa1982 Posted November 24, 2016 · Report post Верно, "/ip firewall filter add action=drop chain=forward src-address-list=blacklist" Я изначально думал что идут первое правило запрет, а потом уже разрешает определенное.А вышло наоборот Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...