oberon09 Опубликовано 9 сентября, 2010 · Жалоба Запретил в сетке (не подумав) весь входящий трафик по протоколу UDP и... (winbox - не работает, dude - показывает, что Микротик не работает, ping не проходит) ... как и чем теперь подключится к Микротику ????? По TCP можно? Как? Вроде фигня проблема, а уже час голову ломаю... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sherwood Опубликовано 9 сентября, 2010 · Жалоба есть несколько вариантов... либо последовательный порт либо набрав IP в адресной строке браузера, ну или самое простое сбросить настройки на заводские, перемкнув соответствующие контакты на плате, но ВНИМАНИЕ все правила которые вы создали в мтике пропадут. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
oberon09 Опубликовано 9 сентября, 2010 · Жалоба есть несколько вариантов... ... либо набрав IP в адресной строке браузера, ... а про браузер - это не фейк ??? чуть поподробней мона? кто-нибудь в курсе - winbox всегда ( и по ip и по mac) использует UDP ??? может на другой интерфейс по кабелю законектится ? сброс на заводские не вариант, т.к. НУ ОЧЕНЬ неохота размонтировать антенную мачту :((( Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
oberon09 Опубликовано 9 сентября, 2010 · Жалоба ну, вроде разобрался... надо по локалке. по проводочку через webbox через 80 порт правильно? фокус в том что сейчас нахожусь от RB за пару-тройку км. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Deac Опубликовано 9 сентября, 2010 · Жалоба А ssh не удосужился поднять? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 9 сентября, 2010 · Жалоба Прежде чем что-то запрещать, надо этот фильтр разрешить и посмотреть что он ловит, и если все в порядке то включать его в работу. Вообще очень не хватает функции тестовой конфигурации на пару минут с подтверждением. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
oberon09 Опубликовано 9 сентября, 2010 · Жалоба А ssh не удосужился поднять? ... не удосужился... ибо на практике максимум, что используешь - это telnet Поэтому SSH-туннелинг - чистый лист... дай наводку (кроме гугля, плиз ;) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sherwood Опубликовано 9 сентября, 2010 · Жалоба а про браузер - это не фейк ??? чуть поподробней мона?ну это если у тебя был настроен Interface Rules для просмотра графиков загрузки канала.тогда набираешь IP точки в браузере и там можешь попасть в настройки точки. но я так понимаю Вы сначала сожгли моты а теперь хотите перебраться назад на другой берег :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Deac Опубликовано 9 сентября, 2010 · Жалоба А ssh не удосужился поднять? ... не удосужился... ибо на практике максимум, что используешь - это telnet Поэтому SSH-туннелинг - чистый лист... дай наводку (кроме гугля, плиз ;) Отсыл в сторону манов от MT не нравится? А куда деваться, всё там: http://wiki.mikrotik.com/wiki/Manual:Console_login_process Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
oberon09 Опубликовано 9 сентября, 2010 · Жалоба а про браузер - это не фейк ??? чуть поподробней мона?ну это если у тебя был настроен Interface Rules для просмотра графиков загрузки канала.тогда набираешь IP точки в браузере и там можешь попасть в настройки точки. но я так понимаю Вы сначала сожгли моты а теперь хотите перебраться назад на другой берег :) выходит, что сжёг :((( ... но желание перебраться осталось ;) я так думаю - firewall перекрыл UDP только в случае тех интерфейсов, которые входят в bridge ??? Следовательно, если законектится к другому interface, то... вот он берег ??? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Deac Опубликовано 9 сентября, 2010 · Жалоба Поробуй ткнуться ssh клиентом, по типовому порту, ИМХО в MT ssh из коробки включен. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
oberon09 Опубликовано 9 сентября, 2010 · Жалоба ...и кстати, в чём прикол - 1. winbox видит MT (mac и ip) а законектится - ни в зуб ногой? 2. dude по всем протоколам пишет "таймаут" хотя состояние пишет - подтверждено! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
oberon09 Опубликовано 9 сентября, 2010 · Жалоба Поробуй ткнуться ssh клиентом, по типовому порту, ИМХО в MT ssh из коробки включен. скачал по-быстрому PuTTY, ткнулся по 22 порту... пишет "таймаут" Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ainy Опубликовано 9 сентября, 2010 · Жалоба скорее всего запретил весь трафик, т.к. winbox по mac это эзернет, ssh, telnet, http - это TCP, а ping и вовсе ICMP. в данной ситуации остается только консоль, ну а до нее понятно добраться при отсутствии заранее смонтированной IP console никак иначе, чем снять железку. возможно есть некий magic packet, получив который МТ сбросится в дефолт, но я такого не знаю. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Fog Опубликовано 10 сентября, 2010 (изменено) · Жалоба а по МАС доступ есть? через тот же винбокс к примеру. это когда вместо адреса вводится МАС микротика, работает только если вы непосредственно в сегменте данного микротика. также можно указать МАС для подключения телнетом находясь на третем микротике который видит нужный мт. или можно по МАС телнетом с другого микротика с другой стороны (интерфейса). Изменено 10 сентября, 2010 пользователем Fog Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sherwood Опубликовано 10 сентября, 2010 · Жалоба а что по MAC это уже другой протокол не TCP? и чем отличается способ зайти на мтик с другого мтика нежели с компьютера? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
oberon09 Опубликовано 10 сентября, 2010 · Жалоба скорее всего запретил весь трафик, т.к. winbox по mac это эзернет, ssh, telnet, http - это TCP, а ping и вовсе ICMP. благодарю за ответ... ... но "запретил весь трафик" - это слишком: пишу эти строчки (как и все предыдущие) используя подключение интернету через МТ, то есть моя Wi-Fi сетка продолжает работать, а вот попасть в настройки МТ (или хотя бы пропинговать его) не могу! На всяк случай перечислю по памяти все последние действия мною совершённые с МТ (люди! для получения траблы достаточно 5 сек. - не повторяйте моей ошибки!) В общем на досуге решил поэксперементировать - как одним махом (не маркируя пакеты и не устанавливая лимитов) запретить в сетке все торренты ;) Для этого добавил правило в firewall -->+ -->chain= input (по умолчанию стоит forwarding) ->protocol= udp (и поставил галочку слева) -->action= drop И ву а ля... имею то, что имею :( Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sherwood Опубликовано 10 сентября, 2010 · Жалоба вы получается наоборот запретили весь трафик кроме UDP. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
oberon09 Опубликовано 10 сентября, 2010 · Жалоба а по МАС доступ есть? через тот же винбокс к примеру. это когда вместо адреса вводится МАС микротика, работает только если вы непосредственно в сегменте данного микротика.также можно указать МАС для подключения телнетом находясь на третем микротике который видит нужный мт. или можно по МАС телнетом с другого микротика с другой стороны (интерфейса). спасибки... я, действительно, не в сегменте, поэтому пока по маку "Could not connect to ... (port 20561) - time out!" Придётся ехать, лезть и т.д и т.п. Отпишусь о результатах... вы получается наоборот запретили весь трафик кроме UDP. Ёлки-маталки... и что же теперь получается ???? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
oberon09 Опубликовано 10 сентября, 2010 · Жалоба Вы меня этой фразой "вы получается наоборот запретили весь трафик кроме UDP." просто убили! Это действительно так??? Drop = запрет, галочка слева от protocol = распространяет действие на все порты и адреса... Не хочется мне выглядеть полным идиотом в RouterOS, но видно придётся? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ainy Опубликовано 10 сентября, 2010 · Жалоба ... но "запретил весь трафик" - это слишком: пишу эти строчки (как и все предыдущие) используя подключение интернету через МТ, то есть моя Wi-Fi сетка продолжает работать, а вот попасть в настройки МТ (или хотя бы пропинговать его) не могу! На всяк случай перечислю по памяти все последние действия мною совершённые с МТ (люди! для получения траблы достаточно 5 сек. - не повторяйте моей ошибки!) В общем на досуге решил поэксперементировать - как одним махом (не маркируя пакеты и не устанавливая лимитов) запретить в сетке все торренты ;) Для этого добавил правило в firewall -->+ -->chain= input (по умолчанию стоит forwarding) ->protocol= udp (и поставил галочку слева) -->action= drop И ву а ля... имею то, что имею :( Возможно стоит backresolv-verify-on-connection. Соответственно железка пытается проверить backresolv, запрос отправляет, а ответа не получает.В этом случае надо попасть в локальный эзер железки winbox-ом и законнектиться по мак. Drop UDP input - это бить все UDP пакеты адресованые самой железке, т.е. то что проходит насквозь оно вообще не затрагивает. Соответственно там можно запретить и весь трафик и сквозной оно не затронет. чейны INPUT & OUTPUT регламентируют доступ на и с железки соответственно. а вот FORWARD - это роутинг насквозь, а BROUTE - бридж насквозь(это если ebtables есть). Вообще прежде чем строить файрволл, надо ознакомиться как оно работает. Оно в данном случае - iptables. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SSD Опубликовано 10 сентября, 2010 · Жалоба Вы меня этой фразой "вы получается наоборот запретили весь трафик кроме UDP." просто убили! Это действительно так??? Drop = запрет, галочка слева от protocol = распространяет действие на все порты и адреса... Не хочется мне выглядеть полным идиотом в RouterOS, но видно придётся?Галочка слева это "не равно" тому что выбрали. :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ainy Опубликовано 10 сентября, 2010 · Жалоба а что по MAC это уже другой протокол не TCP?и чем отличается способ зайти на мтик с другого мтика нежели с компьютера? По мак - это типа EAD, но проприетарный протокол МТ.Называется mactelnet, ни TCP ни UDP ни вообще IP не использует, соответственно правилами L3 не затрагивается. Принцип действия - броадкаст и юникаст эзернет. т.е. телнет (L7) инкапсулируется непосредственно в Ethernet (L2), естественно software flow-control, и не обрабатываются потери на канальном уровне (но в локальном эзере их и не должно быть). Матчасть все таки иногда надо учить. Вы меня этой фразой "вы получается наоборот запретили весь трафик кроме UDP." просто убили! Это действительно так??? Drop = запрет, галочка слева от protocol = распространяет действие на все порты и адреса... Не хочется мне выглядеть полным идиотом в RouterOS, но видно придётся?Галочка слева это "не равно" тому что выбрали. :) Ну тогда понятно :) Я визуально интерфейс винбокса не особо помню - т.к. я его не использую. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
oberon09 Опубликовано 14 ноября, 2010 · Жалоба на всяк пожарный сообщаю: поблема решилась подключением по кабелю к др. интерфейсу МТ Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...