[ivcrash]

Здравствуйте, уважаемые! Очень срочно нужна ваша помощь, ибо в настройках фаера микротика не силён (( собственно сабж - стоит микротик rb411 ros 4.5 в режиме station. Он держит клиентов, 10 квартир. Все на безлимите по 256 kb/s. На радио белый адрес, на езернете серая подсеть выделена. Вообщем под натом. Для "обрезки" скорости по IP создан Queues на эти 10 квартир.. Тобишь с 192.168.0.2 - 192.168.0.11 DHCP сервер не поднимал, так как делал по порядку, каждой квартире свой серый ип.. Но не учел одну вещь.. после 192.168.0.11 доступны все адреса в этой подсети вплоть до 192.168.0.254 и естественно они не обрезаны, и клиент уже один поставил адрес из этой подсети другой , и качает с полной загрузкой канала, так как к нему приходит вся скорость (( Пытаюсь "дропить" пакеты указав на эту подсеть с диапазоном 192.168.0.12-192.168.0.254 по всем интерфейсам, тщетно.. Подскажите, как поступить с фаерволом этой рутер ос? как сделать чтобы остальные адреса были юзерам недоступны, так как адреса вбивались вручную в компы.. Тобишь статика. Благодарю. очень надеюсь на помощь.

[zulu_radist]

правило форвард дроп всей подсети, правило форвард аццепт каждой айпишки.

[ivcrash]

правило форвард дроп всей подсети, правило форвард аццепт каждой айпишки.

Спасибо! Форвард дроп и интерфейс так? допустим подсеть на ether1 значит её указываю, а насчет знаков восклицания - это имеется ввиду "НЕ" ? То есть мне ставить его или нет? Что при этом получается? А если допустим я поставлю только форвард дроп с нужного адреса до последнего, наверное не нужно будет аццепт каждой айпишки делать..

[mr.Z]

Ещё вариант: если используете masquerade-action для NAT'а, то можно просто указать IP, для которых оно должно отрабатывать в "Src. Address".

[zulu_radist]

правило форвард дроп всей подсети, правило форвард аццепт каждой айпишки.

Спасибо! Форвард дроп и интерфейс так? допустим подсеть на ether1 значит её указываю, а насчет знаков восклицания - это имеется ввиду "НЕ" ? То есть мне ставить его или нет? Что при этом получается? А если допустим я поставлю только форвард дроп с нужного адреса до последнего, наверное не нужно будет аццепт каждой айпишки делать..

Форвард сорс диапазон айпишнегов дроп. Воскл знак - "НЕ", все верно. Не надо его ставить. Аццепт для каждой айпишки, я уже вроде я сно написал. Кстати не забудь включить в бридже Use IP Firewall.

[ivcrash]

Ещё вариант: если используете masquerade-action для NAT'а, то можно просто указать IP, для которых оно должно отрабатывать в "Src. Address".

Благодарю, именно это и использую. Это в первой вкладке General NAT Rule? То есть пишу в Src. Address тот который нужно отбросить верно? просто наверное это неудобно вписывать туда с 192.168.0.12 по 192.168.0.254

 

правило форвард дроп всей подсети, правило форвард аццепт каждой айпишки.

Спасибо! Форвард дроп и интерфейс так? допустим подсеть на ether1 значит её указываю, а насчет знаков восклицания - это имеется ввиду "НЕ" ? То есть мне ставить его или нет? Что при этом получается? А если допустим я поставлю только форвард дроп с нужного адреса до последнего, наверное не нужно будет аццепт каждой айпишки делать..

Форвард сорс диапазон айпишнегов дроп. Воскл знак - "НЕ", все верно. Не надо его ставить. Аццепт для каждой айпишки, я уже вроде я сно написал. Кстати не забудь включить в бридже Use IP Firewall.

ХЫ.. а уменя бридж не создан... у меня сделан NAT masquerade... И последний вопрос Форвард сорс это где? Благодарю Вас.

[mr.Z]

Это в первой вкладке General NAT Rule? То есть пишу в Src. Address тот который нужно отбросить верно? просто наверное это неудобно вписывать туда с 192.168.0.12 по 192.168.0.254

Если я правильно понял, то в Вашем случае туда нужно вписывать список адресов, которым надо предоставить доступ в Интернет, например "192.168.0.2-192.168.0.11" (без знака восклицания). Тогда для всех других адресов NAT просто не будет работать.

[ivcrash]

Это в первой вкладке General NAT Rule? То есть пишу в Src. Address тот который нужно отбросить верно? просто наверное это неудобно вписывать туда с 192.168.0.12 по 192.168.0.254

Если я правильно понял, то в Вашем случае туда нужно вписывать список адресов, которым надо предоставить доступ в Интернет, например "192.168.0.2-192.168.0.11" (без знака восклицания). Тогда для всех других адресов NAT просто не будет работать.

ну да, все правильно.. Тобиш где NAT Rule строка Src. Address вписать ипы которые могут в нет ходить...

[ivcrash]

Или же есть вкладка Advanced в NAT Rule и строка Src. Address List и туда вписывать ипы которые будут в инет ходить.. Непонятно вот с этим..

[mr.Z]

Вкладка "General", поле "Src. Address". Примерно, так:

/ip firewall nat
add action=masquerade chain=srcnat comment="" disabled=no out-interface=wlan1 src-address=192.168.0.2-192.168.0.11

[m-sat]

Самое простое поменять маску сети. Вот http://www.subnet-calculator.com/ калькулятор. Посчитай какую маску маску поставить на РБ. И пусть народ ставит что хочет.

Ну, а в идеале сделай привязку мак - ип.

[ivcrash]

Самое простое поменять маску сети. Вот http://www.subnet-calculator.com/ калькулятор. Посчитай какую маску маску поставить на РБ. И пусть народ ставит что хочет.

Ну, а в идеале сделай привязку мак - ип.

Благодарю, уже так и сделал) В ARP list сделал Make Static и добавил в сорс лист адреса которым через НАТ можно ходить в инет.