RN3DCX Опубликовано 16 декабря, 2021 /ip firewall filter add action=drop chain=input in-interface-list=WAN comment="Drop all incoming packages to interface WAN" disabled=no;/ При включении этого правила, пропадает интернет на самом некро-говнотике, транзитный трафик: CPE => CCR => МИР = всё ок! Раньше это правило работало и хлопот не доставляло, но, по всей видимости после обновления какой-то версии, что-то поломали... Вопрос: что в этом правиле не правильного!? - вопрос знатокам, подскажите! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
maxkst Опубликовано 16 декабря, 2021 В 16.12.2021 в 08:45, RN3DCX сказал: пропадает интернет Что значит пропадает интернет? Не ходят пинги до публичных DNS серверов, или доменные имена не резолвятся в IP адреса? )) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
RN3DCX Опубликовано 16 декабря, 2021 В 16.12.2021 в 19:09, maxkst сказал: Не ходят пинги до публичных DNS серверов, или доменные имена не резолвятся в IP адреса? )) Усё и всё сразу! При включённом правиле у самого маршрутизатора нет доступа в мир: ping, traceroute и т.д. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
maxkst Опубликовано 16 декабря, 2021 В 16.12.2021 в 10:18, RN3DCX сказал: Усё и всё сразу! При включённом правиле у самого маршрутизатора нет доступа в мир: ping, traceroute и т.д. ну добавьте для начала ICMP в исключения для этого правила: Protocol (!) 1 (ICMP) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
RN3DCX Опубликовано 16 декабря, 2021 В 16.12.2021 в 19:22, maxkst сказал: ну добавьте для начала ICMP в исключения для этого правила: Protocol (!) 1 (ICMP) И тогда интерфейс будет отвечать на icmp запросы из мира. У меня задача, чтоб все запросы из мира были drop! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
maxkst Опубликовано 16 декабря, 2021 В 16.12.2021 в 10:28, RN3DCX сказал: И тогда интерфейс будет отвечать на запросы icmp из мира. У меня задача, чтоб всё запросы из мира были drop! ну так он и дропает. и ваши собственные тоже Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
RN3DCX Опубликовано 16 декабря, 2021 В 16.12.2021 в 19:30, maxkst сказал: и ваши собственные тоже Что как-бы не логично! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
maxkst Опубликовано 16 декабря, 2021 В 16.12.2021 в 10:33, RN3DCX сказал: Что как-бы не логично! ну не те, что от вас уходят, а те что обратно возвращаются. Вполне логично Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
RN3DCX Опубликовано 16 декабря, 2021 Ранее где-то вычитал, что пакеты сгенерированные маршрутизатором не дропаются!? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
maxkst Опубликовано 16 декабря, 2021 В 16.12.2021 в 10:38, RN3DCX сказал: Где-то вычитал, что пакеты сгенерированные маршрутизатором не дропаются!? Это как раз таки и не логично, но в принципе можно сделать Output правило, которое DST адрес будет закидывать в лист исключения, и не будет дропать ответы с этих адресов. В 16.12.2021 в 10:38, RN3DCX сказал: Ранее где-то вычитал, что пакеты сгенерированные маршрутизатором не дропаются!? тут сама формулировка неверная. Пакеты сгеренированые маршрутизаторами попадают в Output. А ответы уже дропаются либо не дропаются - на Input-е Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
RN3DCX Опубликовано 16 декабря, 2021 В 16.12.2021 в 19:40, maxkst сказал: которое DST адрес будет закидывать в лист исключения Делать список на разрешенные хосты? - Не-е-е, это не вариант! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
maxkst Опубликовано 16 декабря, 2021 В 16.12.2021 в 10:52, RN3DCX сказал: Делать список на разрешенные хосты? - не это не вариант! почему? делать то не в ручную, а сам роутер будет это делать автоматически. ну и таймаут можно сделать не очень долгим Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
rz3dwy Опубликовано 16 декабря, 2021 /ip firewall add action=accept chain=input in-interface-list=WAN comment="Accept established" connection-state=established,related disabled=no;/ /ip firewall filter add action=drop chain=input in-interface-list=WAN comment="Drop all incoming packages to interface WAN" disabled=no;/ Первое разрешает установленные соединения, т.е. ответы на ваши пакеты будут приниматься, а новые и не связанные с установленными - дропаться Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
RN3DCX Опубликовано 16 декабря, 2021 Ок, если пойти другим путём? Как запретить всё зло из интернета, но дать маршрутизатору доступ в мир? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
maxkst Опубликовано 16 декабря, 2021 В 16.12.2021 в 10:54, rz3dwy сказал: Первое разрешает установленные соединения, т.е. ответы на ваши пакеты будут приниматься, а новые и не связанные с установленными - дропаться ну или в основном правиле можно наверное добавить (!) connection-state=established,related В 16.12.2021 в 10:55, RN3DCX сказал: Как запретить всё зло из интернета, но дать маршрутизатору доступ в мир? не, там слишком много зла )) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
RN3DCX Опубликовано 16 декабря, 2021 @maxkst , @rz3dwy Благодарствую за уточняющие примеры! Вообщем проблемам была в невнимательности. Сейчас глянул а у меня правила: Цитата #Разрешаем входящий трафик от уже установленных подключений и связанных /ip firewall filter add action=accept chain=input connection-state=established,related comment="Accept all incoming input established connections" disabled=no;/ #Разрешаем транзитные пакеты от уже установленных соединений /ip firewall filter add action=accept chain=forward connection-state=established,related comment="Accept all incoming forward (transit traffic) established connections" disabled=no;/ # ipsec-policy=out,none означает, что маскарадинг будет применяться только для соединений в которых нет ipsec пакетов для обработки. # Source NAT для пакетов не относящихся к ipsec, уходящих с интерфесов из списка WAN /ip firewall nat set numbers=0 ipsec-policy=out,none comment="NAT + IPsec connections" disabled=no;/ # Для правильной работы ipsec в туннельном режиме /ip firewall filter add action=accept chain=forward ipsec-policy=in,ipsec comment="IPsec connections" disabled=no; /ip firewall filter add action=accept chain=forward ipsec-policy=out,ipsec comment="IPsec connections" disabled=no;/ Стоят в самом низу, а запрещающие идут первыми. Как такое получилось я х.з.... Мож обновления подкинули сюрприз, но всё же это не отменяет моей вины. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
maxkst Опубликовано 16 декабря, 2021 В 16.12.2021 в 11:09, RN3DCX сказал: Вообщем проблемам была в невнимательности. В 16.12.2021 в 08:45, RN3DCX сказал: некро-говнотике В 16.12.2021 в 11:09, RN3DCX сказал: не отменяет моей вины. МИкротик наверное ждет извинений ) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
RN3DCX Опубликовано 16 декабря, 2021 Да, поставили вы меня в неудобную ситуацию перед тиком! =) Придётся теперь мне на узел сгоднять, в качестве извинения. И провести тику ТО: пыль продуть, пасту поменять... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...