Jump to content
Калькуляторы

Mikrotik RB411 ROS 4.5 Firewall

Здравствуйте, уважаемые! Очень срочно нужна ваша помощь, ибо в настройках фаера микротика не силён (( собственно сабж - стоит микротик rb411 ros 4.5 в режиме station. Он держит клиентов, 10 квартир. Все на безлимите по 256 kb/s. На радио белый адрес, на езернете серая подсеть выделена. Вообщем под натом. Для "обрезки" скорости по IP создан Queues на эти 10 квартир.. Тобишь с 192.168.0.2 - 192.168.0.11 DHCP сервер не поднимал, так как делал по порядку, каждой квартире свой серый ип.. Но не учел одну вещь.. после 192.168.0.11 доступны все адреса в этой подсети вплоть до 192.168.0.254 и естественно они не обрезаны, и клиент уже один поставил адрес из этой подсети другой , и качает с полной загрузкой канала, так как к нему приходит вся скорость (( Пытаюсь "дропить" пакеты указав на эту подсеть с диапазоном 192.168.0.12-192.168.0.254 по всем интерфейсам, тщетно.. Подскажите, как поступить с фаерволом этой рутер ос? как сделать чтобы остальные адреса были юзерам недоступны, так как адреса вбивались вручную в компы.. Тобишь статика. Благодарю. очень надеюсь на помощь.

Share this post


Link to post
Share on other sites

правило форвард дроп всей подсети, правило форвард аццепт каждой айпишки.

Share this post


Link to post
Share on other sites

правило форвард дроп всей подсети, правило форвард аццепт каждой айпишки.

Спасибо! Форвард дроп и интерфейс так? допустим подсеть на ether1 значит её указываю, а насчет знаков восклицания - это имеется ввиду "НЕ" ? То есть мне ставить его или нет? Что при этом получается? А если допустим я поставлю только форвард дроп с нужного адреса до последнего, наверное не нужно будет аццепт каждой айпишки делать..

Share this post


Link to post
Share on other sites

Ещё вариант: если используете masquerade-action для NAT'а, то можно просто указать IP, для которых оно должно отрабатывать в "Src. Address".

Share this post


Link to post
Share on other sites
правило форвард дроп всей подсети, правило форвард аццепт каждой айпишки.
Спасибо! Форвард дроп и интерфейс так? допустим подсеть на ether1 значит её указываю, а насчет знаков восклицания - это имеется ввиду "НЕ" ? То есть мне ставить его или нет? Что при этом получается? А если допустим я поставлю только форвард дроп с нужного адреса до последнего, наверное не нужно будет аццепт каждой айпишки делать..

Форвард сорс диапазон айпишнегов дроп. Воскл знак - "НЕ", все верно. Не надо его ставить. Аццепт для каждой айпишки, я уже вроде я сно написал. Кстати не забудь включить в бридже Use IP Firewall.

Share this post


Link to post
Share on other sites
Ещё вариант: если используете masquerade-action для NAT'а, то можно просто указать IP, для которых оно должно отрабатывать в "Src. Address".
Благодарю, именно это и использую. Это в первой вкладке General NAT Rule? То есть пишу в Src. Address тот который нужно отбросить верно? просто наверное это неудобно вписывать туда с 192.168.0.12 по 192.168.0.254

 

правило форвард дроп всей подсети, правило форвард аццепт каждой айпишки.
Спасибо! Форвард дроп и интерфейс так? допустим подсеть на ether1 значит её указываю, а насчет знаков восклицания - это имеется ввиду "НЕ" ? То есть мне ставить его или нет? Что при этом получается? А если допустим я поставлю только форвард дроп с нужного адреса до последнего, наверное не нужно будет аццепт каждой айпишки делать..

Форвард сорс диапазон айпишнегов дроп. Воскл знак - "НЕ", все верно. Не надо его ставить. Аццепт для каждой айпишки, я уже вроде я сно написал. Кстати не забудь включить в бридже Use IP Firewall.

ХЫ.. а уменя бридж не создан... у меня сделан NAT masquerade... И последний вопрос Форвард сорс это где? Благодарю Вас.

Share this post


Link to post
Share on other sites
Это в первой вкладке General NAT Rule? То есть пишу в Src. Address тот который нужно отбросить верно? просто наверное это неудобно вписывать туда с 192.168.0.12 по 192.168.0.254

Если я правильно понял, то в Вашем случае туда нужно вписывать список адресов, которым надо предоставить доступ в Интернет, например "192.168.0.2-192.168.0.11" (без знака восклицания). Тогда для всех других адресов NAT просто не будет работать.

Share this post


Link to post
Share on other sites
Это в первой вкладке General NAT Rule? То есть пишу в Src. Address тот который нужно отбросить верно? просто наверное это неудобно вписывать туда с 192.168.0.12 по 192.168.0.254
Если я правильно понял, то в Вашем случае туда нужно вписывать список адресов, которым надо предоставить доступ в Интернет, например "192.168.0.2-192.168.0.11" (без знака восклицания). Тогда для всех других адресов NAT просто не будет работать.

ну да, все правильно.. Тобиш где NAT Rule строка Src. Address вписать ипы которые могут в нет ходить...

Share this post


Link to post
Share on other sites

Или же есть вкладка Advanced в NAT Rule и строка Src. Address List и туда вписывать ипы которые будут в инет ходить.. Непонятно вот с этим..

Share this post


Link to post
Share on other sites

Вкладка "General", поле "Src. Address". Примерно, так:

/ip firewall nat
add action=masquerade chain=srcnat comment="" disabled=no out-interface=wlan1 src-address=192.168.0.2-192.168.0.11

Share this post


Link to post
Share on other sites

Самое простое поменять маску сети. Вот http://www.subnet-calculator.com/ калькулятор. Посчитай какую маску маску поставить на РБ. И пусть народ ставит что хочет.

Ну, а в идеале сделай привязку мак - ип.

Share this post


Link to post
Share on other sites
Самое простое поменять маску сети. Вот http://www.subnet-calculator.com/ калькулятор. Посчитай какую маску маску поставить на РБ. И пусть народ ставит что хочет.

Ну, а в идеале сделай привязку мак - ип.

Благодарю, уже так и сделал) В ARP list сделал Make Static и добавил в сорс лист адреса которым через НАТ можно ходить в инет.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this