Mystic_2018 Posted April 28, 2018 · Report post Доброго времени суток! Есть 2 под сети одна 192.168.121.0/24 вторая на mikrotik 192.168.124.0/24 Как сделать так чтоб трафик между этими по сетями ПОЛНОСТЬЮ БЕЗ ОГРАНИЧЕНИЯ шол между собой в обе стороны я сдел: /ip firewall filter add chain=forward in-interface=ether2 out-interface=b124 action=accept comment="Allow access 121 in 124" /ip firewall filter add chain=forward in-interface=b124 out-interface=ether2 action=accept comment="Allow access 124 in 121" все вроде хорошо, но из 124 нельзя машину в домен зарегить потомучто что то блокируется. а из 121 подсети нельзя попасть по \\192.168.124.5\c$ так как блокируется порт 139 и 445. а где они блокируются не пойму. Подскажите пожалуйста куда копать? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
.None Posted April 28, 2018 · Report post смотрите антивирусы/фаерволы на ПК, в т.ч. и встроенный брандмауэр windows, микротик тут похоже не при чем. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
DRiVen Posted April 28, 2018 · Report post @Mystic_2018 , вообще принято подобные вопросы сопровождать конфигом, ибо с телепатами проблема. Возможно, что вы 124 -ю сеть натите во все стороны. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted April 28, 2018 · Report post 1 час назад, Mystic_2018 сказал: Подскажите пожалуйста куда копать? Удаляете все правила файрвола и все будет работать. Изначально, если дефолтный конфиг не сбрасывали, там все закрыто, собственно он и создает все проблемы. Для вопросов безопасности достаточно отключить не нужные сервисы и установить ограничения по IP на нужные. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Mystic_2018 Posted April 28, 2018 (edited) · Report post В 28.04.2018 в 11:18, DRiVen сказал: @Mystic_2018 , вообще принято подобные вопросы сопровождать конфигом, ибо с телепатами проблема. Возможно что вы 124 -ю сеть натите во все стороны. [angel@MikroTik] > /interface bridge export # apr/28/2018 12:13:10 by RouterOS 6.38.4 # software id = LAZ4-TUE6 # /interface bridge add comment="Local 192.168.124.1" name=b124 /interface bridge port add bridge=b124 interface=ether3 add [angel@MikroTik] > /interface bridge port export # apr/28/2018 12:13:10 by RouterOS 6.38.4 # software id = LAZ4-TUE6 # /interface bridge port add bridge=b124 interface=ether3 add [angel@MikroTik] > /ip firewall filter export # apr/28/2018 12:13:10 by RouterOS 6.38.4 # software id = LAZ4-TUE6 # /ip firewall filter add action=drop chain=input comment="Drop Invalid connections" connection-state=invalid add action=accept chain=input comment="Allow Established connections" connection-state=established add action=accept chain=input comment="Allow Established connections" connection-state=established,related,new,untracked in-interface=ether2 add action=accept chain=input comment="Allow Established connections" connection-state=established,related,new,untracked in-interface=b124 add action=accept chain=forward comment="Allow related connections" connection-state=related add action=accept chain=input comment="Allow UDP" protocol=udp add action=accept chain=input comment="Allow ICMP" protocol=icmp add action=accept chain=input comment="Allow access to router from known network" src-address=192.168.121.0/24 add action=accept chain=input comment="Allow access to router from known network" src-address=192.168.123.0/24 add action=accept chain=input comment="Allow access to router from known network" src-address=192.168.124.0/24 add action=accept chain=forward comment="Allow access 121 in 124" in-interface=ether2 out-interface=b124 add action=accept chain=forward comment="Allow access 124 in 121" in-interface=b124 out-interface=ether2 add action=drop chain=forward comment="Deny youtube" packet-mark=youtube_packet add action=drop chain=input comment="Deny youtube" packet-mark=youtube_packet add action=drop chain=forward comment="Deny SocSeti" packet-mark=SocSeti_packet add action=drop chain=input comment="Deny SocSeti" packet-mark=SocSeti_packet add action=drop chain=tcp comment="Deny 5242,4244,5243,7985,9785" dst-port=5242,4244,5243,7985,9785 protocol=tcp add action=accept chain=forward comment="Allow access MMK" out-interface=pCUB add action=accept chain=forward comment="Allow access Full Internet" out-interface=ether1 src-address-list=FullInet add action=accept chain=forward comment="Allow Internet" dst-port=80,443,25,995,993,465,587,110,143,8080,3389 in-interface=b124 out-interface=ether1 \ protocol=tcp add action=accept chain=tcp comment="Allow Internet" dst-port=80,443,25,995,993,465,587,110,143,8080,3389 in-interface=b124 out-interface=ether1 protocol=tcp add action=accept chain=udp comment="Allow Internet" dst-port=5060,53,123 in-interface=b124 out-interface=ether1 protocol=udp add action=accept chain=input comment="Allow WinBox & Ftp" dst-port=21,8291 in-interface=ether1 protocol=tcp add action=drop chain=input comment="Allow WinBox & Ftp" in-interface=ether1 add action=drop chain=input comment="Drop anything else" [angel@MikroTik] > /ip firewall nat export # apr/28/2018 12:13:10 by RouterOS 6.38.4 # software id = LAZ4-TUE6 # /ip firewall nat add action=masquerade chain=srcnat out-interface=ether1 add action=masquerade chain=srcnat out-interface=pCUB add action=netmap chain=dstnat comment="\CF\EE\F0\F2\EC\E0\EF\E8\ED\E3" disabled=yes dst-port=17600-17800 in-interface=ether3 protocol=tcp src-address=\ 192.168.121.99 to-addresses=192.168.121.11 add action=netmap chain=dstnat disabled=yes dst-port=4489 in-interface=ether1 protocol=tcp src-address=192.168.121.99 to-addresses=192.168.121.7 to-ports=\ 3389 add action=netmap chain=dstnat disabled=yes dst-port=18501-18800 in-interface=ether3 protocol=tcp src-address=192.168.121.99 to-addresses=192.168.121.11 add action=netmap chain=dstnat disabled=yes dst-port=4433 in-interface=ether3 protocol=tcp src-address=192.168.121.99 to-addresses=192.168.121.55 to-ports=\ 1433 add action=netmap chain=dstnat disabled=yes dst-port=1433 in-interface=ether3 protocol=tcp src-address=192.168.121.99 to-addresses=192.168.121.55 add action=netmap chain=dstnat disabled=yes dst-port=5539 in-interface=ether3 protocol=tcp src-address=192.168.121.99 to-addresses=192.168.121.7 to-ports=\ 3389 add action=netmap chain=dstnat disabled=yes dst-port=7789 in-interface=ether3 protocol=tcp src-address=192.168.121.99 to-addresses=192.168.121.7 to-ports=\ 3389 [angel@MikroTik] > /ip route export # apr/28/2018 12:13:10 by RouterOS 6.38.4 # software id = LAZ4-TUE6 # /ip route add check-gateway=ping distance=1 gateway=192.168.120.10 add distance=1 dst-address=10.171.10.0/24 gateway=pCUB add disabled=yes distance=1 dst-address=192.168.121.0/24 gateway=192.168.121.111 add disabled=yes distance=1 dst-address=192.168.124.0/24 gateway=192.168.124.1 /ip route rule add dst-address=192.168.121.0/24 interface=ether2 routing-mark=main table=main add disabled=yes dst-address=192.168.124.0/24 interface=b124 routing-mark=main table=main Такие ? Edited May 3, 2018 by Mystic_2018 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
nkusnetsov Posted April 28, 2018 · Report post 2 минуты назад, Mystic_2018 сказал: /ip firewall nat add action=masquerade chain=srcnat out-interface=ether1 add action=masquerade chain=srcnat out-interface=pCUB add action=masquerade chain=srcnat out-interface=b124 add action=masquerade chain=srcnat out-interface=ether2 Вот к чему приводят тяжелые наркотики. @Mystic_2018 , купите уже циску и прекратите мучить микротик. Или наймите нормального сисадмина. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Mystic_2018 Posted April 28, 2018 · Report post @nkusnetsov А по человечески сказать сложно без оскорблений ? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Pinkbyte Posted April 28, 2018 · Report post По-человечески: абсолютно непонятно зачем вам NAT на b124, невнятные правила на файрволле, дропаете invalid connections по conntrack-у вряд ли понимая последствия этого(не всё идет через conntrack), дальше перечислять? Подымите правила на ACCEPT повыше и проверьте ping-ом доступность хостов с обеих сторон, запустим tcpdump на обоих клиентских хостах для съема трафика. Иначе это всё - гадание на кофейной гуще. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Mystic_2018 Posted April 28, 2018 · Report post 3 минуты назад, Pinkbyte сказал: По-человечески: абсолютно непонятно зачем вам NAT на b124, невнятные правила на файрволле, дропаете invalid connections по conntrack-у вряд ли понимая последствия этого(не всё идет через conntrack), Цитата дальше перечислять? да, я готов слушать. Подымите правила на ACCEPT повыше и проверьте ping-ом доступность хостов с обеих сторон, запустим tcpdump на обоих клиентских хостах для съема трафика. Иначе это всё - гадание на кофейной гуще. Ну по нату мне самому непонятно зачем они, просто мне так сказал сделать сертифицированный спец по микротику.(убрал нат) пинг проходит с обоих сторон Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Pinkbyte Posted April 28, 2018 · Report post Quote да, я готов слушать. Я думаю для вас не секрет, что ноги у файрволла Mikrotik растут из Линуксового Netfilter/iptables? Поэтому ознакомьтесь для начала с мануалом - многие вопросы сразу отпадут. Quote просто мне так сказал сделать сертифицированный спец по микротику Настройка сети без понимая производимых действий - такое себе дело... Мнение сертифицированного специалиста безусловно важно, но только в том случае, если вы можете понять суть его советов. Quote пинг проходит с обоих сторон Окей, а теперь шлите реквесты по SMB и смотрите проходят ли они в tcpdump. И так далее по каждому интересующему вас протоколу. Если на интерфейсах по мнению tcpdump/wireshark пакеты будут, а доступа не будет - крутите файрволы на клиентах. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Mystic_2018 Posted May 17, 2018 (edited) · Report post изучив мануал Настроил Mikrotic /ip route print Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, B - blackhole, U - unreachable, P - prohibit # DST-ADDRESS PREF-SRC GATEWAY DISTANCE 0 A S ;;; No Porno 0.0.0.0/0 192.168.121.99 1 1 A S ;;; default route 0.0.0.0/0 192.168.120.10 1 2 DS 0.0.0.0/0 192.168.200.1 1 3 A S 10.171.10.0/24 pCUB 1 4 ADS 80.244.37.55/32 192.168.120.10 0 5 ADC 192.168.120.0/24 192.168.120.2 Wan1 0 6 ADC 192.168.121.0/24 192.168.121.16 Lan1 0 7 ADC 192.168.124.0/24 192.168.124.1 Lan1 0 8 ADC 192.168.200.1/32 192.168.200.10 pCUB 0 /ip address print 192.168.120.2/24 192.168.120.0 Wan1 192.168.124.1/24 192.168.124.0 Lan1 192.168.121.16/24 192.168.121.0 Lan1 /ip firewall filter print chain=input action=accept protocol=tcp in-interface=Wan1 dst-port=21,8291 chain=input protocol=icmp chain=input action=accept protocol=udp chain=input action=accept in-interface=Lan1 chain=forward action=accept out-interface=Lan1 chain=input action=accept connection-state=established chain=forward action=accept connection-state=related chain=output action=accept connection-state=!invalid chain=forward action=accept src-address-list=FullInet out-interface=Wan1 /ip route print 0 0.0.0.0/0 192.168.121.99 1 1 0.0.0.0/0 192.168.120.10 1 2 DS 0.0.0.0/0 192.168.200.1 1 3 A S 10.171.10.0/24 pCUB 1 4 ADS 80.244.37.55/32 192.168.120.10 0 5 ADC 192.168.120.0/24 192.168.120.2 Wan1 0 6 ADC 192.168.121.0/24 192.168.121.16 Lan1 0 7 ADC 192.168.124.0/24 192.168.124.1 Lan1 0 Тесть На машите # ip r g 192.168.124.211 192.168.124.211 via 192.168.121.10 dev enp3s0 src 192.168.121.99 # tcpdump -pnni enp3s0 host 192.168.124.211 and icmp tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on enp3s0, link-type EN10MB (Ethernet), capture size 262144 bytes 10:47:30.178383 IP 192.168.121.99 > 192.168.124.211: ICMP echo request, id 29995, seq 47495, length 64 10:47:30.187391 IP 192.168.124.211 > 192.168.121.99: ICMP echo reply, id 29995, seq 47495, length 64 10:47:31.178781 IP 192.168.121.99 > 192.168.124.211: ICMP echo request, id 29995, seq 47496, length 64 10:47:31.179579 IP 192.168.124.211 > 192.168.121.99: ICMP echo reply, id 29995, seq 47496, length 64 10:47:32.178406 IP 192.168.121.99 > 192.168.124.211: ICMP echo request, id 29995, seq 47497, length 64 10:47:32.191523 IP 192.168.124.211 > 192.168.121.99: ICMP echo reply, id 29995, seq 47497, length 64 10:47:33.180721 IP 192.168.121.99 > 192.168.124.211: ICMP echo request, id 29995, seq 47498, length 64 10:47:33.181170 IP 192.168.124.211 > 192.168.121.99: ICMP echo reply, id 29995, seq 47498, length 64 но кроме пинга из 124 подсети в 121 ничего не уходит и не приходит, где сабака зарыта подскажите пожалуйста для теста установил 2 машины на линуксе, чтобы исключить фаервол обе машины абсолютные дырки пропускают все отовсюду. Edited May 17, 2018 by Mystic_2018 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...