Hirdetés
- sziku69: Fűzzük össze a szavakat :)
- WhrlpoolMind: Búcsú a HD3870-től
- MaxxDamage: Vizes Laptop Hűtés? Lehetséges? Igen!
- GoodSpeed: Aquaphor Modern víztisztító
- sziku69: Szólánc.
- Oldman2: A KOReader ebook olvasó program
- Luck Dragon: Asszociációs játék. :)
- D1Rect: Nagy "hülyétkapokazapróktól" topik
- Klaus Duran: Nem csajos Samsung Z Flip
- Brogyi: CTEK akkumulátor töltő és másolatai
-
LOGOUT
Mikrotik routerekkel foglalkozó téma. Mikrotik router típusok, hardverek, router beállítások, programozás (scriptek írása), frissítés, és minden Mikrotik routerrel kapcsolatos beszélgetés helye.
Új hozzászólás Aktív témák
-
#4348
Sly\'s
csendes tag
Core2duo6600
#4347
Sly\'s
csendes tag
válasz
Core2duo6600
#4347
üzenetére
Ha megnézed az előző hozzászólásom abban erőteljesen szeparálva lettek az input, a forward, és az output láncok.
Fontos, hogy próbálj egy jó rendszert kialakítani az általad felépített tűzfalban, mert különben össze fogsz zavarodni.
Ha elolvastad(és sikerült megértened) a hozzászólásom, akkor abból kiderült, hogy amit én ajánlottam első bejegyzésnek minden láncban az nálad pontosan a 10-es sor.
Az a szabály semmi másra nem jó csak arra, hogy a routered a már felépített és az azokhoz tartozó kapcsolatokat átengedi az input láncon.
Mivel ezek a kapcsolatok csomagjai lesznek elsősorban a legtöbben ezért az input, a forward, és az output láncon is az első sorban helyezzük el, mivel így lesz a legkisebb a routered terhelése.
Minél több aktív tűzfalszabály van a routerben annál több időt vesz igénybe a szabályok és a csomagok vagy kapcsolatok összehasonlítása.
Meg próbálom elemezni az INPUT láncodat:
9 ;;; Allowed to router
chain=input action=accept src-address-list=allowed_to_router in-interface=Lan log=no log-prefix=""Itt ha jól értelmeztem a dolgokat, a LAN interfészről bejövő ALLOWED listába lévő IP címek hozzá férhetnek a routeredhez.
10 ;;; default configuration
chain=input action=accept connection-state=established,related log=no log-prefix=""Ez a szabály lenne az amit előbb már kiveséztem aminek az első helyen ajánlott állnia...
11 ;;; Allowed to router
chain=input action=accept src-address-list=allowed_to_router in-interface=ether4 log=no log-prefix=""Itt ismételten leírod ugyan azt amit az első sorban, csak itt a lan4-re.
12 ;;; From DNS from Wan
chain=input action=drop protocol=udp in-interface=Digi-PPPOE dst-port=53 log=no log- prefix="Drop_DNS"Ennél a sornál tiltod az UDP DNS lekéréseket a Digi-PPPOE interfészen.
13 chain=input action=drop protocol=tcp in-interface=Digi-PPPOE dst-port=53 log=no log-prefix="Drop_DNS"Ennél a sornál tiltod a TCP DNS lekéréseket a Digi-PPPOE interfészen.
14 chain=input action=drop protocol=tcp in-interface=Telekom dst-port=53 log=no log-prefix=""Ennél a sornál tiltod a TCP DNS lekéréseket a Telekom interfészen.
15 chain=input action=drop protocol=udp in-interface=Telekom dst-port=53 log=no log-prefix=""Ennél a sornál tiltod a UDP DNS lekéréseket a Telekom interfészen.
17 ;;; Drop Invalid
chain=input action=drop connection-state=invalid log=no log-prefix="Invalid"Ennél a sornál tiltod(eldobod) a hibás kapcsolatokat
22 chain=input action=drop log=yes log-prefix="Drop"Ennél a sornál minden egyébb csomagot, kapcsolatot eldobsz(tiltod), amit előtte nem engedélyeztél.
Ha most így ebben a formában végignézed az input lánc sorait és értelmezed őket akkor miért kellene működnie az "internetnek" ha tiltod azt a szabályt?
Logikázzunk(ha jól sejtem az egyéb beállításaidat):
- Te szeretnél egy weboldalt megnyitni, ez valahogy sacc. így néz ki:
1. a géped megpróbálja feloldani a DNS címet,
2. mivel ő nem tudja, a routeredhez fordul,
3. a routerd kiküldi a DNS szervernek a kérést,
4. a DNS szerver elméletileg lesz olyan jó fej, hogy válaszol a kérésedre,
5. DE mivel te befogod a "fülét" a routernek(mivel kikapcsolod a "10"-es szabályt) így ő nem hallja meg a választ, ezért a te géped nem tudja feloldani a DNS-t, így nem tudod megnézni a weboldalt...Megpróbáltam "egyszerűsíteni" a tűzfalad picit saját logika alapján(ez lehet nem teljesen megfelelő neked)...
Remélem érzékeled a különbséget(lehet ezt még jobban is egyszerűsíteni de most nem kavarlak bele)... 
/ip firewall filter
add action=accept chain=input connection-state=established,related \
comment="Enged\E9lyezz\FCk a m\E1r fel\E9p\FClt \E9s a hozz\E1(juk) kapcsol\F3d\F3 kapcsolato(ka)t. [ Forr\E1s: https://wiki.mikrotik.com/wiki/Tips_and_Tricks_for_Beginners_and_Experienced_Users_of_RouterOS#Firewall ]"
add action=drop chain=input comment="Hib\E1s csomagok eldob\E1sa" connection-state=invalid
add action=accept chain=Internet comment="ICMP csomagok enged\E9lyez\E9se" protocol=icmp
add action=accept chain=Internet comment="MikroTik FTP" disabled=yes dst-port=21 protocol=tcp
add action=accept chain=Internet comment="MikroTik SSH" disabled=yes dst-port=22 protocol=tcp
add action=accept chain=Internet comment="MikroTik DNS" disabled=yes dst-port=53 protocol=tcp
add action=accept chain=Internet comment="MikroTik DNS" disabled=yes dst-port=53 protocol=udp
add action=accept chain=Internet comment="MikroTik HTTP" disabled=yes dst-port=80 protocol=tcp
add action=accept chain=Internet comment="MikroTik HTTPS" disabled=yes dst-port=443 protocol=tcp
add action=accept chain=Internet comment="MikroTik Bandwidth Test" dst-port=2000 protocol=tcp
add action=accept chain=Internet comment="MikroTik Bandwidth Test" dst-port=2000 protocol=udp
add action=accept chain=Internet comment="MikroTik WinBox" dst-port=8291 protocol=tcp
add action=drop chain=Internet comment="Internet fel\F5l minden m\E1s csomag logol\E1s \E9s eldob\E1s" log=yes log-prefix=\
"DROP[Internet]: "
add action=jump chain=input comment=Digi in-interface=pppoe-out1 jump-target=Internet
add action=jump chain=input comment=Telekom in-interface=pppoe-out2 jump-target=InternetEbben a megoldásban létrehozok egy láncot "Internet" néven, és a két internet kapcsolat interfészét átirányítom és csak egyszer hozom létre a szabályaimat.
Ami kell azt bekapcsolom ami nem kell az marad kikapcsolva.
Az utolsó szabály így is úgyis eldobja az összes előtte nem engedélyezett csomagot, kapcsolatot, így nem dobálgatok szolgáltatásonként el(nálad DNS)...
Itt az internet felől bekapcsolva hagytam a WinBox-ot ill. Bandwidth Test portjait...
Mivel nem tudom a belsőhálózatod, hogy épül fel így azzal nem foglalkoztam most.Remélem segít valamit ez a kesze-kusza hozzászólás...
Nem épp jó a fogalmazócskám így kérek mindenkit, hogy ezt nézze el nekem.
Illetve, ha valaki valami rosszat sejt a hozzászólásomban, akár bántást, esetleg negatív hullámokat, attól elnézést kérek, mert nem állt szándékomban!!!Üdv. Slys!
Új hozzászólás Aktív témák
ekkold- Kávé kezdőknek - amatőr koffeinisták anonim klubja
- Xbox tulajok OFF topicja
- Autós topik
- AMD K6-III, és minden ami RETRO - Oldschool tuning
- Xiaomi 15 - kicsi telefon nagy energiával
- OLED TV topic
- Audi, Cupra, Seat, Skoda, Volkswagen topik
- SD memóriakártyák (SD, SDHC, SDXC, micro SD)
- Gumi és felni topik
- Fujifilm X
- További aktív témák...
- új, bontatlan Kingston FURY Impact 32 GB KIT DDR4L-3200 SoDIMM CL20-22-22 memória / kisker garancia
- Asztali PC , i5 10400F , RX 6600 XT , 16GB DDR4 , 512GB NVME
- Bomba ár! Fujitsu H760 - i7-6820HQ I 32GB I 500SSD I 15,6" FHD I Nvidia 4GB I Cam I W10 I Garancia!
- LG 32" ívelt Monitor 32MR50C-B
- Bomba ár! HP EliteBook 840 G8 - i5-1145G7 I 8GB I 256GB SSD I HDMI I 14" FHD I Cam I W11 I Gari!
- LG 27MR400 - 27" IPS LED - 1920x1080 FHD - 100hz 5ms - AMD FreeSync - Villódzásmentes
- Lenovo ThinkPad T15 Gen 2 Intel Core i5-1135G7
- GYÖNYÖRŰ iPhone 13 mini 128GB Midnight -1 ÉV GARANCIA - Kártyafüggetlen, MS3337, 94% Akkumulátor
- GYÖNYÖRŰ iPhone 11 Pro 256GB Midnight Green -1 ÉV GARANCIA - Kártyafüggetlen, MS2253,95% Akkumulátor
- Apple iPhone 16 Pro 128 GB Desert 2026.05.11-ig Garanciális Beszámítás Házhozszállítás
Állásajánlatok
Cég: CAMERA-PRO Hungary Kft.
Város: Budapest
Cég: PCMENTOR SZERVIZ KFT.
Város: Budapest