Jump to content

Mikrotik RB411 ROS 4.5

ivcrash
 Share

Recommended Posts

ivcrash

ivcrash

Posted
Posted

Здравствуйте, уважаемые! Очень срочно нужна ваша помощь, ибо в настройках фаера микротика не силён (( собственно сабж - стоит микротик rb411 ros 4.5 в режиме station. Он держит клиентов, 10 квартир. Все на безлимите по 256 kb/s. На радио белый адрес, на езернете серая подсеть выделена. Вообщем под натом. Для "обрезки" скорости по IP создан Queues на эти 10 квартир.. Тобишь с 192.168.0.2 - 192.168.0.11 DHCP сервер не поднимал, так как делал по порядку, каждой квартире свой серый ип.. Но не учел одну вещь.. после 192.168.0.11 доступны все адреса в этой подсети вплоть до 192.168.0.254 и естественно они не обрезаны, и клиент уже один поставил адрес из этой подсети другой , и качает с полной загрузкой канала, так как к нему приходит вся скорость (( Пытаюсь "дропить" пакеты указав на эту подсеть с диапазоном 192.168.0.12-192.168.0.254 по всем интерфейсам, тщетно.. Подскажите, как поступить с фаерволом этой рутер ос? как сделать чтобы остальные адреса были юзерам недоступны, так как адреса вбивались вручную в компы.. Тобишь статика. Благодарю. очень надеюсь на помощь.

ivcrash

ivcrash

Posted
  • Author
Posted

правило форвард дроп всей подсети, правило форвард аццепт каждой айпишки.

Спасибо! Форвард дроп и интерфейс так? допустим подсеть на ether1 значит её указываю, а насчет знаков восклицания - это имеется ввиду "НЕ" ? То есть мне ставить его или нет? Что при этом получается? А если допустим я поставлю только форвард дроп с нужного адреса до последнего, наверное не нужно будет аццепт каждой айпишки делать..

mr.Z

mr.Z

Posted
Posted

Ещё вариант: если используете masquerade-action для NAT'а, то можно просто указать IP, для которых оно должно отрабатывать в "Src. Address".

zulu_radist

zulu_radist

Posted
Posted
правило форвард дроп всей подсети, правило форвард аццепт каждой айпишки.
Спасибо! Форвард дроп и интерфейс так? допустим подсеть на ether1 значит её указываю, а насчет знаков восклицания - это имеется ввиду "НЕ" ? То есть мне ставить его или нет? Что при этом получается? А если допустим я поставлю только форвард дроп с нужного адреса до последнего, наверное не нужно будет аццепт каждой айпишки делать..

Форвард сорс диапазон айпишнегов дроп. Воскл знак - "НЕ", все верно. Не надо его ставить. Аццепт для каждой айпишки, я уже вроде я сно написал. Кстати не забудь включить в бридже Use IP Firewall.
ivcrash

ivcrash

Posted
  • Author
Posted
Ещё вариант: если используете masquerade-action для NAT'а, то можно просто указать IP, для которых оно должно отрабатывать в "Src. Address".
Благодарю, именно это и использую. Это в первой вкладке General NAT Rule? То есть пишу в Src. Address тот который нужно отбросить верно? просто наверное это неудобно вписывать туда с 192.168.0.12 по 192.168.0.254

 

правило форвард дроп всей подсети, правило форвард аццепт каждой айпишки.
Спасибо! Форвард дроп и интерфейс так? допустим подсеть на ether1 значит её указываю, а насчет знаков восклицания - это имеется ввиду "НЕ" ? То есть мне ставить его или нет? Что при этом получается? А если допустим я поставлю только форвард дроп с нужного адреса до последнего, наверное не нужно будет аццепт каждой айпишки делать..

Форвард сорс диапазон айпишнегов дроп. Воскл знак - "НЕ", все верно. Не надо его ставить. Аццепт для каждой айпишки, я уже вроде я сно написал. Кстати не забудь включить в бридже Use IP Firewall.

ХЫ.. а уменя бридж не создан... у меня сделан NAT masquerade... И последний вопрос Форвард сорс это где? Благодарю Вас.
mr.Z

mr.Z

Posted
Posted
Это в первой вкладке General NAT Rule? То есть пишу в Src. Address тот который нужно отбросить верно? просто наверное это неудобно вписывать туда с 192.168.0.12 по 192.168.0.254

Если я правильно понял, то в Вашем случае туда нужно вписывать список адресов, которым надо предоставить доступ в Интернет, например "192.168.0.2-192.168.0.11" (без знака восклицания). Тогда для всех других адресов NAT просто не будет работать.

ivcrash

ivcrash

Posted
  • Author
Posted
Это в первой вкладке General NAT Rule? То есть пишу в Src. Address тот который нужно отбросить верно? просто наверное это неудобно вписывать туда с 192.168.0.12 по 192.168.0.254
Если я правильно понял, то в Вашем случае туда нужно вписывать список адресов, которым надо предоставить доступ в Интернет, например "192.168.0.2-192.168.0.11" (без знака восклицания). Тогда для всех других адресов NAT просто не будет работать.

ну да, все правильно.. Тобиш где NAT Rule строка Src. Address вписать ипы которые могут в нет ходить...
ivcrash

ivcrash

Posted
  • Author
Posted

Или же есть вкладка Advanced в NAT Rule и строка Src. Address List и туда вписывать ипы которые будут в инет ходить.. Непонятно вот с этим..

mr.Z

mr.Z

Posted
Posted

Вкладка "General", поле "Src. Address". Примерно, так:

/ip firewall nat
add action=masquerade chain=srcnat comment="" disabled=no out-interface=wlan1 src-address=192.168.0.2-192.168.0.11

ivcrash

ivcrash

Posted
  • Author
Posted
Самое простое поменять маску сети. Вот http://www.subnet-calculator.com/ калькулятор. Посчитай какую маску маску поставить на РБ. И пусть народ ставит что хочет.

Ну, а в идеале сделай привязку мак - ип.

Благодарю, уже так и сделал) В ARP list сделал Make Static и добавил в сорс лист адреса которым через НАТ можно ходить в инет.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.