Jump to content
Калькуляторы

Mikrotik firewall Помогите разобраться в правилах

Reply to this topic

admw   

admw
Posted (edited)

Помогите разобраться в правилах, из картинки видно

http://s59.radikal.ru/i163/1211/d1/689d628f750f.jpg

первые три правила должны пропускать трафик для 192.168.88.25 через себя, но как видно трафик идет через последнее правило которое надо отключить и вместо него запретить всем остальным. Так вот не пойму почему трафик не идет через первый правила.

Edited by admw

Share this post

Link to post
Share on other sites

sexst   

sexst
Posted

Очевидно это трафик не ОТ 192.168.88.25 а К 192.168.88.25.

Далее, если именно ПРОПУСКАТЬ трафик, то input и output явно лишние

Share this post

Link to post
Share on other sites

admw   

admw
Posted

Очевидно это трафик не ОТ 192.168.88.25 а К 192.168.88.25.

Далее, если именно ПРОПУСКАТЬ трафик, то input и output явно лишние

Там и ОТ и К и общий трафик прописан разными правилами но через них не идет трафик

Share this post

Link to post
Share on other sites

admw   

admw
Posted

Вижу только от абонента. К абоненту не вижу, ткните носом.

А первое и второе правило это разве не на входящий и исходящий трафик?

Share this post

Link to post
Share on other sites

sexst   

sexst
Posted

Нет. Первое - трафик адресованный роутеру от 192.168.88.25. Второе вообще бессмысленное, но у него и пакетов ноль. А третье - транзит, исходящий от хоста.

Первые два в топку + добавить правило FORWARD с DST ADDRESS 192.168.88.25.

man iptables вам в помощь=)

Share this post

Link to post
Share on other sites

admw   

admw
Posted

Нет. Первое - трафик адресованный роутеру от 192.168.88.25. Второе вообще бессмысленное, но у него и пакетов ноль. А третье - транзит, исходящий от хоста.

Первые два в топку + добавить правило FORWARD с DST ADDRESS 192.168.88.25.

man iptables вам в помощь=)

Спс за помощь! http://s47.radikal.ru/i116/1211/47/3fc3bea43282.jpg

Ну вот вроде сделал как надо)) но через последнее правило все ровно идет какой то трафик, может еще что не так? И подскажите как правильно описать правило для запрета всем остальным.

Share this post

Link to post
Share on other sites

sexst   

sexst
Posted

На каждый хост нужно два правила на FORWARD. Одно с SRC ADDRESS, второе с DST ADDRESS.

Далее. Если у вас много однотипных хостов, то лучше создать address list с этими хостами и сделать два правила для листа вместо отдельных каждому хосту. Чем больше правил, тем больше жрутся ресурсы.

Share this post

Link to post
Share on other sites

admw   

admw
Posted

На каждый хост нужно два правила на FORWARD. Одно с SRC ADDRESS, второе с DST ADDRESS.

Далее. Если у вас много однотипных хостов, то лучше создать address list с этими хостами и сделать два правила для листа вместо отдельных каждому хосту. Чем больше правил, тем больше жрутся ресурсы.

Вот сделал как надо, практически весь трафик идет как надо.

http://s018.radikal.ru/i503/1211/70/22ec42bba3ac.jpg

Подскажите я правило для запрета остальным правильно создал?

Share this post

Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
Followers 0
Go to topic listing Программное обеспечение, биллинг и *unix системы