Перейти к содержимому
Калькуляторы

Mikrotik RB411 ROS 4.5 Firewall

Здравствуйте, уважаемые! Очень срочно нужна ваша помощь, ибо в настройках фаера микротика не силён (( собственно сабж - стоит микротик rb411 ros 4.5 в режиме station. Он держит клиентов, 10 квартир. Все на безлимите по 256 kb/s. На радио белый адрес, на езернете серая подсеть выделена. Вообщем под натом. Для "обрезки" скорости по IP создан Queues на эти 10 квартир.. Тобишь с 192.168.0.2 - 192.168.0.11 DHCP сервер не поднимал, так как делал по порядку, каждой квартире свой серый ип.. Но не учел одну вещь.. после 192.168.0.11 доступны все адреса в этой подсети вплоть до 192.168.0.254 и естественно они не обрезаны, и клиент уже один поставил адрес из этой подсети другой , и качает с полной загрузкой канала, так как к нему приходит вся скорость (( Пытаюсь "дропить" пакеты указав на эту подсеть с диапазоном 192.168.0.12-192.168.0.254 по всем интерфейсам, тщетно.. Подскажите, как поступить с фаерволом этой рутер ос? как сделать чтобы остальные адреса были юзерам недоступны, так как адреса вбивались вручную в компы.. Тобишь статика. Благодарю. очень надеюсь на помощь.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

правило форвард дроп всей подсети, правило форвард аццепт каждой айпишки.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

правило форвард дроп всей подсети, правило форвард аццепт каждой айпишки.

Спасибо! Форвард дроп и интерфейс так? допустим подсеть на ether1 значит её указываю, а насчет знаков восклицания - это имеется ввиду "НЕ" ? То есть мне ставить его или нет? Что при этом получается? А если допустим я поставлю только форвард дроп с нужного адреса до последнего, наверное не нужно будет аццепт каждой айпишки делать..

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ещё вариант: если используете masquerade-action для NAT'а, то можно просто указать IP, для которых оно должно отрабатывать в "Src. Address".

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

правило форвард дроп всей подсети, правило форвард аццепт каждой айпишки.
Спасибо! Форвард дроп и интерфейс так? допустим подсеть на ether1 значит её указываю, а насчет знаков восклицания - это имеется ввиду "НЕ" ? То есть мне ставить его или нет? Что при этом получается? А если допустим я поставлю только форвард дроп с нужного адреса до последнего, наверное не нужно будет аццепт каждой айпишки делать..

Форвард сорс диапазон айпишнегов дроп. Воскл знак - "НЕ", все верно. Не надо его ставить. Аццепт для каждой айпишки, я уже вроде я сно написал. Кстати не забудь включить в бридже Use IP Firewall.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ещё вариант: если используете masquerade-action для NAT'а, то можно просто указать IP, для которых оно должно отрабатывать в "Src. Address".
Благодарю, именно это и использую. Это в первой вкладке General NAT Rule? То есть пишу в Src. Address тот который нужно отбросить верно? просто наверное это неудобно вписывать туда с 192.168.0.12 по 192.168.0.254

 

правило форвард дроп всей подсети, правило форвард аццепт каждой айпишки.
Спасибо! Форвард дроп и интерфейс так? допустим подсеть на ether1 значит её указываю, а насчет знаков восклицания - это имеется ввиду "НЕ" ? То есть мне ставить его или нет? Что при этом получается? А если допустим я поставлю только форвард дроп с нужного адреса до последнего, наверное не нужно будет аццепт каждой айпишки делать..

Форвард сорс диапазон айпишнегов дроп. Воскл знак - "НЕ", все верно. Не надо его ставить. Аццепт для каждой айпишки, я уже вроде я сно написал. Кстати не забудь включить в бридже Use IP Firewall.

ХЫ.. а уменя бридж не создан... у меня сделан NAT masquerade... И последний вопрос Форвард сорс это где? Благодарю Вас.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Это в первой вкладке General NAT Rule? То есть пишу в Src. Address тот который нужно отбросить верно? просто наверное это неудобно вписывать туда с 192.168.0.12 по 192.168.0.254

Если я правильно понял, то в Вашем случае туда нужно вписывать список адресов, которым надо предоставить доступ в Интернет, например "192.168.0.2-192.168.0.11" (без знака восклицания). Тогда для всех других адресов NAT просто не будет работать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Это в первой вкладке General NAT Rule? То есть пишу в Src. Address тот который нужно отбросить верно? просто наверное это неудобно вписывать туда с 192.168.0.12 по 192.168.0.254
Если я правильно понял, то в Вашем случае туда нужно вписывать список адресов, которым надо предоставить доступ в Интернет, например "192.168.0.2-192.168.0.11" (без знака восклицания). Тогда для всех других адресов NAT просто не будет работать.

ну да, все правильно.. Тобиш где NAT Rule строка Src. Address вписать ипы которые могут в нет ходить...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Или же есть вкладка Advanced в NAT Rule и строка Src. Address List и туда вписывать ипы которые будут в инет ходить.. Непонятно вот с этим..

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вкладка "General", поле "Src. Address". Примерно, так:

/ip firewall nat
add action=masquerade chain=srcnat comment="" disabled=no out-interface=wlan1 src-address=192.168.0.2-192.168.0.11

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Самое простое поменять маску сети. Вот http://www.subnet-calculator.com/ калькулятор. Посчитай какую маску маску поставить на РБ. И пусть народ ставит что хочет.

Ну, а в идеале сделай привязку мак - ип.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Самое простое поменять маску сети. Вот http://www.subnet-calculator.com/ калькулятор. Посчитай какую маску маску поставить на РБ. И пусть народ ставит что хочет.

Ну, а в идеале сделай привязку мак - ип.

Благодарю, уже так и сделал) В ARP list сделал Make Static и добавил в сорс лист адреса которым через НАТ можно ходить в инет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.