RN3DCX Posted December 16, 2021 /ip firewall filter add action=drop chain=input in-interface-list=WAN comment="Drop all incoming packages to interface WAN" disabled=no;/ При включении этого правила, пропадает интернет на самом некро-говнотике, транзитный трафик: CPE => CCR => МИР = всё ок! Раньше это правило работало и хлопот не доставляло, но, по всей видимости после обновления какой-то версии, что-то поломали... Вопрос: что в этом правиле не правильного!? - вопрос знатокам, подскажите! Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
maxkst Posted December 16, 2021 В 16.12.2021 в 08:45, RN3DCX сказал: пропадает интернет Что значит пропадает интернет? Не ходят пинги до публичных DNS серверов, или доменные имена не резолвятся в IP адреса? )) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
RN3DCX Posted December 16, 2021 В 16.12.2021 в 19:09, maxkst сказал: Не ходят пинги до публичных DNS серверов, или доменные имена не резолвятся в IP адреса? )) Усё и всё сразу! При включённом правиле у самого маршрутизатора нет доступа в мир: ping, traceroute и т.д. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
maxkst Posted December 16, 2021 В 16.12.2021 в 10:18, RN3DCX сказал: Усё и всё сразу! При включённом правиле у самого маршрутизатора нет доступа в мир: ping, traceroute и т.д. ну добавьте для начала ICMP в исключения для этого правила: Protocol (!) 1 (ICMP) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
RN3DCX Posted December 16, 2021 В 16.12.2021 в 19:22, maxkst сказал: ну добавьте для начала ICMP в исключения для этого правила: Protocol (!) 1 (ICMP) И тогда интерфейс будет отвечать на icmp запросы из мира. У меня задача, чтоб все запросы из мира были drop! Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
maxkst Posted December 16, 2021 В 16.12.2021 в 10:28, RN3DCX сказал: И тогда интерфейс будет отвечать на запросы icmp из мира. У меня задача, чтоб всё запросы из мира были drop! ну так он и дропает. и ваши собственные тоже Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
RN3DCX Posted December 16, 2021 В 16.12.2021 в 19:30, maxkst сказал: и ваши собственные тоже Что как-бы не логично! Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
maxkst Posted December 16, 2021 В 16.12.2021 в 10:33, RN3DCX сказал: Что как-бы не логично! ну не те, что от вас уходят, а те что обратно возвращаются. Вполне логично Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
RN3DCX Posted December 16, 2021 Ранее где-то вычитал, что пакеты сгенерированные маршрутизатором не дропаются!? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
maxkst Posted December 16, 2021 В 16.12.2021 в 10:38, RN3DCX сказал: Где-то вычитал, что пакеты сгенерированные маршрутизатором не дропаются!? Это как раз таки и не логично, но в принципе можно сделать Output правило, которое DST адрес будет закидывать в лист исключения, и не будет дропать ответы с этих адресов. В 16.12.2021 в 10:38, RN3DCX сказал: Ранее где-то вычитал, что пакеты сгенерированные маршрутизатором не дропаются!? тут сама формулировка неверная. Пакеты сгеренированые маршрутизаторами попадают в Output. А ответы уже дропаются либо не дропаются - на Input-е Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
RN3DCX Posted December 16, 2021 В 16.12.2021 в 19:40, maxkst сказал: которое DST адрес будет закидывать в лист исключения Делать список на разрешенные хосты? - Не-е-е, это не вариант! Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
maxkst Posted December 16, 2021 В 16.12.2021 в 10:52, RN3DCX сказал: Делать список на разрешенные хосты? - не это не вариант! почему? делать то не в ручную, а сам роутер будет это делать автоматически. ну и таймаут можно сделать не очень долгим Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
rz3dwy Posted December 16, 2021 /ip firewall add action=accept chain=input in-interface-list=WAN comment="Accept established" connection-state=established,related disabled=no;/ /ip firewall filter add action=drop chain=input in-interface-list=WAN comment="Drop all incoming packages to interface WAN" disabled=no;/ Первое разрешает установленные соединения, т.е. ответы на ваши пакеты будут приниматься, а новые и не связанные с установленными - дропаться Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
RN3DCX Posted December 16, 2021 Ок, если пойти другим путём? Как запретить всё зло из интернета, но дать маршрутизатору доступ в мир? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
maxkst Posted December 16, 2021 В 16.12.2021 в 10:54, rz3dwy сказал: Первое разрешает установленные соединения, т.е. ответы на ваши пакеты будут приниматься, а новые и не связанные с установленными - дропаться ну или в основном правиле можно наверное добавить (!) connection-state=established,related В 16.12.2021 в 10:55, RN3DCX сказал: Как запретить всё зло из интернета, но дать маршрутизатору доступ в мир? не, там слишком много зла )) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
RN3DCX Posted December 16, 2021 @maxkst , @rz3dwy Благодарствую за уточняющие примеры! Вообщем проблемам была в невнимательности. Сейчас глянул а у меня правила: Цитата #Разрешаем входящий трафик от уже установленных подключений и связанных /ip firewall filter add action=accept chain=input connection-state=established,related comment="Accept all incoming input established connections" disabled=no;/ #Разрешаем транзитные пакеты от уже установленных соединений /ip firewall filter add action=accept chain=forward connection-state=established,related comment="Accept all incoming forward (transit traffic) established connections" disabled=no;/ # ipsec-policy=out,none означает, что маскарадинг будет применяться только для соединений в которых нет ipsec пакетов для обработки. # Source NAT для пакетов не относящихся к ipsec, уходящих с интерфесов из списка WAN /ip firewall nat set numbers=0 ipsec-policy=out,none comment="NAT + IPsec connections" disabled=no;/ # Для правильной работы ipsec в туннельном режиме /ip firewall filter add action=accept chain=forward ipsec-policy=in,ipsec comment="IPsec connections" disabled=no; /ip firewall filter add action=accept chain=forward ipsec-policy=out,ipsec comment="IPsec connections" disabled=no;/ Стоят в самом низу, а запрещающие идут первыми. Как такое получилось я х.з.... Мож обновления подкинули сюрприз, но всё же это не отменяет моей вины. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
maxkst Posted December 16, 2021 В 16.12.2021 в 11:09, RN3DCX сказал: Вообщем проблемам была в невнимательности. В 16.12.2021 в 08:45, RN3DCX сказал: некро-говнотике В 16.12.2021 в 11:09, RN3DCX сказал: не отменяет моей вины. МИкротик наверное ждет извинений ) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
RN3DCX Posted December 16, 2021 Да, поставили вы меня в неудобную ситуацию перед тиком! =) Придётся теперь мне на узел сгоднять, в качестве извинения. И провести тику ТО: пыль продуть, пасту поменять... Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...