RN3DCX Posted December 16, 2021 · Report post /ip firewall filter add action=drop chain=input in-interface-list=WAN comment="Drop all incoming packages to interface WAN" disabled=no;/ При включении этого правила, пропадает интернет на самом некро-говнотике, транзитный трафик: CPE => CCR => МИР = всё ок! Раньше это правило работало и хлопот не доставляло, но, по всей видимости после обновления какой-то версии, что-то поломали... Вопрос: что в этом правиле не правильного!? - вопрос знатокам, подскажите! Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
maxkst Posted December 16, 2021 · Report post В 16.12.2021 в 08:45, RN3DCX сказал: пропадает интернет Что значит пропадает интернет? Не ходят пинги до публичных DNS серверов, или доменные имена не резолвятся в IP адреса? )) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
RN3DCX Posted December 16, 2021 · Report post В 16.12.2021 в 19:09, maxkst сказал: Не ходят пинги до публичных DNS серверов, или доменные имена не резолвятся в IP адреса? )) Усё и всё сразу! При включённом правиле у самого маршрутизатора нет доступа в мир: ping, traceroute и т.д. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
maxkst Posted December 16, 2021 · Report post В 16.12.2021 в 10:18, RN3DCX сказал: Усё и всё сразу! При включённом правиле у самого маршрутизатора нет доступа в мир: ping, traceroute и т.д. ну добавьте для начала ICMP в исключения для этого правила: Protocol (!) 1 (ICMP) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
RN3DCX Posted December 16, 2021 · Report post В 16.12.2021 в 19:22, maxkst сказал: ну добавьте для начала ICMP в исключения для этого правила: Protocol (!) 1 (ICMP) И тогда интерфейс будет отвечать на icmp запросы из мира. У меня задача, чтоб все запросы из мира были drop! Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
maxkst Posted December 16, 2021 · Report post В 16.12.2021 в 10:28, RN3DCX сказал: И тогда интерфейс будет отвечать на запросы icmp из мира. У меня задача, чтоб всё запросы из мира были drop! ну так он и дропает. и ваши собственные тоже Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
RN3DCX Posted December 16, 2021 · Report post В 16.12.2021 в 19:30, maxkst сказал: и ваши собственные тоже Что как-бы не логично! Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
maxkst Posted December 16, 2021 · Report post В 16.12.2021 в 10:33, RN3DCX сказал: Что как-бы не логично! ну не те, что от вас уходят, а те что обратно возвращаются. Вполне логично Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
RN3DCX Posted December 16, 2021 · Report post Ранее где-то вычитал, что пакеты сгенерированные маршрутизатором не дропаются!? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
maxkst Posted December 16, 2021 · Report post В 16.12.2021 в 10:38, RN3DCX сказал: Где-то вычитал, что пакеты сгенерированные маршрутизатором не дропаются!? Это как раз таки и не логично, но в принципе можно сделать Output правило, которое DST адрес будет закидывать в лист исключения, и не будет дропать ответы с этих адресов. В 16.12.2021 в 10:38, RN3DCX сказал: Ранее где-то вычитал, что пакеты сгенерированные маршрутизатором не дропаются!? тут сама формулировка неверная. Пакеты сгеренированые маршрутизаторами попадают в Output. А ответы уже дропаются либо не дропаются - на Input-е Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
RN3DCX Posted December 16, 2021 · Report post В 16.12.2021 в 19:40, maxkst сказал: которое DST адрес будет закидывать в лист исключения Делать список на разрешенные хосты? - Не-е-е, это не вариант! Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
maxkst Posted December 16, 2021 · Report post В 16.12.2021 в 10:52, RN3DCX сказал: Делать список на разрешенные хосты? - не это не вариант! почему? делать то не в ручную, а сам роутер будет это делать автоматически. ну и таймаут можно сделать не очень долгим Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
rz3dwy Posted December 16, 2021 · Report post /ip firewall add action=accept chain=input in-interface-list=WAN comment="Accept established" connection-state=established,related disabled=no;/ /ip firewall filter add action=drop chain=input in-interface-list=WAN comment="Drop all incoming packages to interface WAN" disabled=no;/ Первое разрешает установленные соединения, т.е. ответы на ваши пакеты будут приниматься, а новые и не связанные с установленными - дропаться Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
RN3DCX Posted December 16, 2021 · Report post Ок, если пойти другим путём? Как запретить всё зло из интернета, но дать маршрутизатору доступ в мир? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
maxkst Posted December 16, 2021 · Report post В 16.12.2021 в 10:54, rz3dwy сказал: Первое разрешает установленные соединения, т.е. ответы на ваши пакеты будут приниматься, а новые и не связанные с установленными - дропаться ну или в основном правиле можно наверное добавить (!) connection-state=established,related В 16.12.2021 в 10:55, RN3DCX сказал: Как запретить всё зло из интернета, но дать маршрутизатору доступ в мир? не, там слишком много зла )) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
RN3DCX Posted December 16, 2021 · Report post @maxkst , @rz3dwy Благодарствую за уточняющие примеры! Вообщем проблемам была в невнимательности. Сейчас глянул а у меня правила: Цитата #Разрешаем входящий трафик от уже установленных подключений и связанных /ip firewall filter add action=accept chain=input connection-state=established,related comment="Accept all incoming input established connections" disabled=no;/ #Разрешаем транзитные пакеты от уже установленных соединений /ip firewall filter add action=accept chain=forward connection-state=established,related comment="Accept all incoming forward (transit traffic) established connections" disabled=no;/ # ipsec-policy=out,none означает, что маскарадинг будет применяться только для соединений в которых нет ipsec пакетов для обработки. # Source NAT для пакетов не относящихся к ipsec, уходящих с интерфесов из списка WAN /ip firewall nat set numbers=0 ipsec-policy=out,none comment="NAT + IPsec connections" disabled=no;/ # Для правильной работы ipsec в туннельном режиме /ip firewall filter add action=accept chain=forward ipsec-policy=in,ipsec comment="IPsec connections" disabled=no; /ip firewall filter add action=accept chain=forward ipsec-policy=out,ipsec comment="IPsec connections" disabled=no;/ Стоят в самом низу, а запрещающие идут первыми. Как такое получилось я х.з.... Мож обновления подкинули сюрприз, но всё же это не отменяет моей вины. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
maxkst Posted December 16, 2021 · Report post В 16.12.2021 в 11:09, RN3DCX сказал: Вообщем проблемам была в невнимательности. В 16.12.2021 в 08:45, RN3DCX сказал: некро-говнотике В 16.12.2021 в 11:09, RN3DCX сказал: не отменяет моей вины. МИкротик наверное ждет извинений ) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
RN3DCX Posted December 16, 2021 · Report post Да, поставили вы меня в неудобную ситуацию перед тиком! =) Придётся теперь мне на узел сгоднять, в качестве извинения. И провести тику ТО: пыль продуть, пасту поменять... Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...