Jump to content
Калькуляторы

фиревал

/ip firewall filter add action=drop chain=input in-interface-list=WAN comment="Drop all incoming packages to interface WAN" disabled=no;/
 

При включении этого правила, пропадает интернет на самом некро-говнотике, транзитный трафик: CPE => CCR => МИР = всё ок!

Раньше это правило работало и хлопот не доставляло, но, по всей видимости после обновления какой-то версии, что-то поломали...

 

Вопрос: что в этом правиле не правильного!? - вопрос знатокам, подскажите!

Share this post


Link to post
Share on other sites

В 16.12.2021 в 08:45, RN3DCX сказал:

пропадает интернет

Что значит пропадает интернет? Не ходят пинги до публичных DNS серверов, или доменные имена не резолвятся в IP адреса? ))

Share this post


Link to post
Share on other sites

В 16.12.2021 в 19:09, maxkst сказал:

Не ходят пинги до публичных DNS серверов, или доменные имена не резолвятся в IP адреса? ))

Усё и всё сразу! При включённом правиле у самого маршрутизатора нет доступа в мир: ping, traceroute и т.д.

Share this post


Link to post
Share on other sites

В 16.12.2021 в 10:18, RN3DCX сказал:

Усё и всё сразу! При включённом правиле у самого маршрутизатора нет доступа в мир: ping, traceroute и т.д.

ну добавьте для начала ICMP в исключения для этого правила: Protocol (!) 1 (ICMP)

Share this post


Link to post
Share on other sites

В 16.12.2021 в 19:22, maxkst сказал:

ну добавьте для начала ICMP в исключения для этого правила: Protocol (!) 1 (ICMP)

И тогда интерфейс будет отвечать на icmp запросы из мира.

У меня задача, чтоб все запросы из мира были drop!

Share this post


Link to post
Share on other sites

В 16.12.2021 в 10:28, RN3DCX сказал:

И тогда интерфейс будет отвечать на запросы icmp из мира.

У меня задача, чтоб всё запросы из мира были drop!

ну так он и дропает. и ваши собственные тоже 

Share this post


Link to post
Share on other sites

В 16.12.2021 в 10:33, RN3DCX сказал:

Что как-бы не логично!

ну не те, что от вас уходят, а те что обратно возвращаются. Вполне логично

Share this post


Link to post
Share on other sites

В 16.12.2021 в 10:38, RN3DCX сказал:

Где-то вычитал, что пакеты сгенерированные маршрутизатором не дропаются!?

Это как раз таки и не логично, но в принципе можно сделать Output правило, которое DST адрес будет закидывать в лист исключения, и не будет дропать ответы с этих адресов. 

 

В 16.12.2021 в 10:38, RN3DCX сказал:

Ранее где-то вычитал, что пакеты сгенерированные маршрутизатором не дропаются!?

тут сама формулировка неверная. Пакеты сгеренированые маршрутизаторами попадают в Output. А ответы уже дропаются либо не дропаются - на Input-е

Share this post


Link to post
Share on other sites

В 16.12.2021 в 19:40, maxkst сказал:

которое DST адрес будет закидывать в лист исключения

Делать список на разрешенные хосты? - Не-е-е, это не вариант!

 

Share this post


Link to post
Share on other sites

В 16.12.2021 в 10:52, RN3DCX сказал:

Делать список на разрешенные хосты? - не это не вариант!

почему? делать то не в ручную, а сам роутер будет это делать автоматически. ну и таймаут можно сделать не очень долгим

Share this post


Link to post
Share on other sites

/ip firewall add action=accept chain=input in-interface-list=WAN comment="Accept established" connection-state=established,related disabled=no;/

/ip firewall filter add action=drop chain=input in-interface-list=WAN comment="Drop all incoming packages to interface WAN" disabled=no;/

 

Первое разрешает установленные соединения, т.е. ответы на ваши пакеты будут приниматься, а новые и не связанные с установленными - дропаться

Share this post


Link to post
Share on other sites

В 16.12.2021 в 10:54, rz3dwy сказал:

Первое разрешает установленные соединения, т.е. ответы на ваши пакеты будут приниматься, а новые и не связанные с установленными - дропаться

ну или в основном правиле можно наверное добавить (!) connection-state=established,related 

 

В 16.12.2021 в 10:55, RN3DCX сказал:

Как запретить всё зло из интернета, но дать маршрутизатору доступ в мир?

не, там слишком много зла ))

 

Share this post


Link to post
Share on other sites

@maxkst , @rz3dwy Благодарствую за уточняющие примеры!

Вообщем проблемам была в невнимательности. Сейчас глянул а у меня правила:

Цитата

#Разрешаем входящий трафик от уже установленных подключений и связанных
/ip firewall filter add action=accept chain=input connection-state=established,related comment="Accept all incoming input established connections" disabled=no;/

#Разрешаем транзитные пакеты от уже установленных соединений
/ip firewall filter add action=accept chain=forward  connection-state=established,related comment="Accept all incoming forward (transit traffic) established connections" disabled=no;/

# ipsec-policy=out,none означает, что маскарадинг будет применяться только для соединений в которых нет ipsec пакетов для обработки.
# Source NAT для пакетов не относящихся к ipsec, уходящих с интерфесов из списка WAN
/ip firewall nat set numbers=0 ipsec-policy=out,none comment="NAT + IPsec connections" disabled=no;/

# Для правильной работы ipsec в туннельном режиме
/ip firewall filter add action=accept chain=forward ipsec-policy=in,ipsec comment="IPsec connections" disabled=no;
/ip firewall filter add action=accept chain=forward ipsec-policy=out,ipsec comment="IPsec connections" disabled=no;/
 

Стоят в самом низу, а запрещающие идут первыми.

Как такое получилось я х.з.... Мож обновления подкинули сюрприз, но всё же это не отменяет моей вины.

 

Share this post


Link to post
Share on other sites

В 16.12.2021 в 11:09, RN3DCX сказал:

Вообщем проблемам была в невнимательности.

 

В 16.12.2021 в 08:45, RN3DCX сказал:

некро-говнотике

 

В 16.12.2021 в 11:09, RN3DCX сказал:

не отменяет моей вины.

 

МИкротик наверное ждет извинений )

Share this post


Link to post
Share on other sites

Да, поставили вы меня в неудобную ситуацию перед тиком! =)

Придётся теперь мне на узел сгоднять, в качестве извинения. И провести тику ТО: пыль продуть, пасту поменять...  

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.