ivcrash Опубликовано 27 февраля, 2010 Здравствуйте, уважаемые! Очень срочно нужна ваша помощь, ибо в настройках фаера микротика не силён (( собственно сабж - стоит микротик rb411 ros 4.5 в режиме station. Он держит клиентов, 10 квартир. Все на безлимите по 256 kb/s. На радио белый адрес, на езернете серая подсеть выделена. Вообщем под натом. Для "обрезки" скорости по IP создан Queues на эти 10 квартир.. Тобишь с 192.168.0.2 - 192.168.0.11 DHCP сервер не поднимал, так как делал по порядку, каждой квартире свой серый ип.. Но не учел одну вещь.. после 192.168.0.11 доступны все адреса в этой подсети вплоть до 192.168.0.254 и естественно они не обрезаны, и клиент уже один поставил адрес из этой подсети другой , и качает с полной загрузкой канала, так как к нему приходит вся скорость (( Пытаюсь "дропить" пакеты указав на эту подсеть с диапазоном 192.168.0.12-192.168.0.254 по всем интерфейсам, тщетно.. Подскажите, как поступить с фаерволом этой рутер ос? как сделать чтобы остальные адреса были юзерам недоступны, так как адреса вбивались вручную в компы.. Тобишь статика. Благодарю. очень надеюсь на помощь. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zulu_radist Опубликовано 27 февраля, 2010 правило форвард дроп всей подсети, правило форвард аццепт каждой айпишки. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ivcrash Опубликовано 27 февраля, 2010 правило форвард дроп всей подсети, правило форвард аццепт каждой айпишки. Спасибо! Форвард дроп и интерфейс так? допустим подсеть на ether1 значит её указываю, а насчет знаков восклицания - это имеется ввиду "НЕ" ? То есть мне ставить его или нет? Что при этом получается? А если допустим я поставлю только форвард дроп с нужного адреса до последнего, наверное не нужно будет аццепт каждой айпишки делать.. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mr.Z Опубликовано 27 февраля, 2010 Ещё вариант: если используете masquerade-action для NAT'а, то можно просто указать IP, для которых оно должно отрабатывать в "Src. Address". Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zulu_radist Опубликовано 27 февраля, 2010 правило форвард дроп всей подсети, правило форвард аццепт каждой айпишки.Спасибо! Форвард дроп и интерфейс так? допустим подсеть на ether1 значит её указываю, а насчет знаков восклицания - это имеется ввиду "НЕ" ? То есть мне ставить его или нет? Что при этом получается? А если допустим я поставлю только форвард дроп с нужного адреса до последнего, наверное не нужно будет аццепт каждой айпишки делать.. Форвард сорс диапазон айпишнегов дроп. Воскл знак - "НЕ", все верно. Не надо его ставить. Аццепт для каждой айпишки, я уже вроде я сно написал. Кстати не забудь включить в бридже Use IP Firewall. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ivcrash Опубликовано 1 марта, 2010 Ещё вариант: если используете masquerade-action для NAT'а, то можно просто указать IP, для которых оно должно отрабатывать в "Src. Address".Благодарю, именно это и использую. Это в первой вкладке General NAT Rule? То есть пишу в Src. Address тот который нужно отбросить верно? просто наверное это неудобно вписывать туда с 192.168.0.12 по 192.168.0.254 правило форвард дроп всей подсети, правило форвард аццепт каждой айпишки.Спасибо! Форвард дроп и интерфейс так? допустим подсеть на ether1 значит её указываю, а насчет знаков восклицания - это имеется ввиду "НЕ" ? То есть мне ставить его или нет? Что при этом получается? А если допустим я поставлю только форвард дроп с нужного адреса до последнего, наверное не нужно будет аццепт каждой айпишки делать.. Форвард сорс диапазон айпишнегов дроп. Воскл знак - "НЕ", все верно. Не надо его ставить. Аццепт для каждой айпишки, я уже вроде я сно написал. Кстати не забудь включить в бридже Use IP Firewall. ХЫ.. а уменя бридж не создан... у меня сделан NAT masquerade... И последний вопрос Форвард сорс это где? Благодарю Вас. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mr.Z Опубликовано 1 марта, 2010 Это в первой вкладке General NAT Rule? То есть пишу в Src. Address тот который нужно отбросить верно? просто наверное это неудобно вписывать туда с 192.168.0.12 по 192.168.0.254 Если я правильно понял, то в Вашем случае туда нужно вписывать список адресов, которым надо предоставить доступ в Интернет, например "192.168.0.2-192.168.0.11" (без знака восклицания). Тогда для всех других адресов NAT просто не будет работать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ivcrash Опубликовано 1 марта, 2010 Это в первой вкладке General NAT Rule? То есть пишу в Src. Address тот который нужно отбросить верно? просто наверное это неудобно вписывать туда с 192.168.0.12 по 192.168.0.254Если я правильно понял, то в Вашем случае туда нужно вписывать список адресов, которым надо предоставить доступ в Интернет, например "192.168.0.2-192.168.0.11" (без знака восклицания). Тогда для всех других адресов NAT просто не будет работать. ну да, все правильно.. Тобиш где NAT Rule строка Src. Address вписать ипы которые могут в нет ходить... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ivcrash Опубликовано 1 марта, 2010 Или же есть вкладка Advanced в NAT Rule и строка Src. Address List и туда вписывать ипы которые будут в инет ходить.. Непонятно вот с этим.. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mr.Z Опубликовано 1 марта, 2010 Вкладка "General", поле "Src. Address". Примерно, так: /ip firewall nat add action=masquerade chain=srcnat comment="" disabled=no out-interface=wlan1 src-address=192.168.0.2-192.168.0.11 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
m-sat Опубликовано 1 марта, 2010 Самое простое поменять маску сети. Вот http://www.subnet-calculator.com/ калькулятор. Посчитай какую маску маску поставить на РБ. И пусть народ ставит что хочет. Ну, а в идеале сделай привязку мак - ип. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ivcrash Опубликовано 2 марта, 2010 Самое простое поменять маску сети. Вот http://www.subnet-calculator.com/ калькулятор. Посчитай какую маску маску поставить на РБ. И пусть народ ставит что хочет.Ну, а в идеале сделай привязку мак - ип. Благодарю, уже так и сделал) В ARP list сделал Make Static и добавил в сорс лист адреса которым через НАТ можно ходить в инет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...