Форум программистов, компьютерный форум, киберфорум
Наши страницы

Mikrotik

Войти
Регистрация
Восстановить пароль
 
 
Igor1906
0 / 0 / 0
Регистрация: 17.08.2017
Сообщений: 7
#1

Не работает фильтрация сайтов Mikrotik rb750gl - Mikrotik

17.08.2017, 14:25. Просмотров 321. Ответов 15
Метки нет (Все метки)

Всем добрый день. У меня по каким-то причинам не работает фильтрация сайтов. Сразу говорю, что с оборудованием от данного производителя сталкиваюсь впервые, поэтому прошу простить моё незнание. Миктротик настраивал другой человек, но он пока занят и не может заняться выяснением причины. Сеть работает исправно, в инет выходит, шлюз выставлен именно на этот аппарат, но WhiteList почему-то не работает. Прошу помочь, заранее благодарен. Если нужны какие-либо настройки, кину скрин, или конфиг.
0
Надоела реклама? Зарегистрируйтесь и она исчезнет полностью.
Similar
Эксперт
41792 / 34177 / 6122
Регистрация: 12.04.2006
Сообщений: 57,940
17.08.2017, 14:25
Здравствуйте! Я подобрал для вас темы с ответами на вопрос Не работает фильтрация сайтов Mikrotik rb750gl (Mikrotik):

Блокировка сайтов на Mikrotik - Mikrotik
День добрый. Возник вопрос(с подачи нашайнике) по блокировке доступа в нет на всех машинах офиса по принципу "усе,окромя вот этих 2...

Блокировка сайтов через Mikrotik - Mikrotik
У меня в колледже микротик стоит и коммутатор, все отлично работает. Но вот боюсь в настройки микротика лезть, говорят мудреная вещь. Мне...

сбор информации о посещаемых сайтов каждые ip на Mikrotik - Mikrotik
Руководство просит учет трафика по всем подключаемым ip (как по проводу так и по wifi) с записью объема загрузки и сайтов (кто куда лазил и...

Mikrotik. Не работает VPN по двум интерфейсам - Mikrotik
Есть - два удаленных сервера с поднятыми OpenVPN-серверами в режиме p2p 10.67.4.1 и 10.67.5.1 - роутер Mikrotik с настроенными...

На Mikrotik не работает PPTP совместно с L2TP - Mikrotik
Доброго времени суток. Столкнулся с проблемой. В кратце: Раньше на микротике был поднят pptp для подключения сотрудников, позже появился...

Mikrotik TO Mikrotik (VPN) - Mikrotik
Подскажите пожалуйста! Организовал VPN тунель м/у 2-мя Микротиками. Проблема в том что за микротиками локалку не видит. Хотя в...

15
romsan
Эксперт по компьютерным сетям
1007 / 523 / 94
Регистрация: 17.10.2015
Сообщений: 2,228
17.08.2017, 16:48 #2
мою тему читали? У Вас так же реализовано?
0
NoNaMe
Эксперт по компьютерным сетям
498 / 219 / 35
Регистрация: 10.06.2009
Сообщений: 991
17.08.2017, 16:56 #3
Давайте начнём с экспорта выложите:
Код
/ip fi fi ex fi=cyberforum.rsc
1
romsan
17.08.2017, 17:11
  #4

Не по теме:

Оказывается можно сокращения командам давать

0
Igor1906
0 / 0 / 0
Регистрация: 17.08.2017
Сообщений: 7
17.08.2017, 17:35  [ТС] #5
Скрин из конфига, я так понимаю это та строчка
0
Миниатюры
Не работает фильтрация сайтов Mikrotik rb750gl  
Igor1906
0 / 0 / 0
Регистрация: 17.08.2017
Сообщений: 7
17.08.2017, 17:38  [ТС] #6
На счет экспорта, вашим способом могу только завтра, так как уже не на работе. Я пользовался командой /export compact file=config. Не знаю то или нет, и вышел такой конфигурационный файл.
0
romsan
Эксперт по компьютерным сетям
1007 / 523 / 94
Регистрация: 17.10.2015
Сообщений: 2,228
17.08.2017, 17:43 #7
Цитата Сообщение от NoNaMe Посмотреть сообщение
/ip fi fi ex fi=cyberforum.rsc
/ip - раздел ip
fi - firewall
fi - filters
ex - export
fi - file
ну а дальше понятно. В разделе Files у Вас появится файл cyberforum.rsc. Вот его запакуйте rar-ом например и выложите сюда.
0
Igor1906
0 / 0 / 0
Регистрация: 17.08.2017
Сообщений: 7
17.08.2017, 17:44  [ТС] #8
Сорри, не заметил, что нельзя файл в таком формате прикреплять, только так
0
Вложения
Тип файла: rar config.rar (10.2 Кб, 2 просмотров)
Igor1906
0 / 0 / 0
Регистрация: 17.08.2017
Сообщений: 7
17.08.2017, 17:51  [ТС] #9
Цитата Сообщение от romsan Посмотреть сообщение
/ip - раздел ip
fi - firewall
fi - filters
ex - export
fi - file
ну а дальше понятно. В разделе Files у Вас появится файл cyberforum.rsc. Вот его запакуйте rar-ом например и выложите сюда.
Хорошо, завтра утром постараюсь скинуть.
0
NoNaMe
Эксперт по компьютерным сетям
498 / 219 / 35
Регистрация: 10.06.2009
Сообщений: 991
17.08.2017, 23:42 #10
Конкретно то что Я вижу в ваших конвигах, это вода.
Добавить:
Код
/ip firewall filter
add action=drop chain=input comment="Drop Invalid connections" connection-state=invalid
add action=drop chain=forward comment="Drop Invalid connections" connection-state=invalid
add action=accept chain=forward dst-address-list=white
/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1-gateway
/ip firewall mangle
add action=fasttrack-connection chain=prerouting connection-state=established,related
Вам нужно с нуля настраивать правила:

В начале разрешающие правила input за ними
Код
/ip fi fi add ch=input reject-with=icmp-admin-prohibited
В начале разрешающие правила forward за ними
Код
/ip fi fi add ch=forward reject-with=icmp-admin-prohibited
В начале разрешающие правила output за ними
Код
/ip fi fi add ch=output reject-with=icmp-admin-prohibited
Про layer7 немного в шоке, представье себе что это обработка каждого пакета. Это работает очень медленно!

Стратегия немного странная, "разрешать только определённые сайты".

Не по теме:

romsan, из ограничений сокращений:
ch - Chain (Можно)
fi - Filters (Можно)
ou - output (Нельзя, для параметров)

1
Igor1906
0 / 0 / 0
Регистрация: 17.08.2017
Сообщений: 7
18.08.2017, 08:21  [ТС] #11
/ip fi fi ex fi=cyberforum.rsc
Результат
0
Вложения
Тип файла: rar cyber.rar (459 байт, 1 просмотров)
romsan
Эксперт по компьютерным сетям
1007 / 523 / 94
Регистрация: 17.10.2015
Сообщений: 2,228
18.08.2017, 08:56 #12
хм... 3-е правило
add action=drop chain=input comment="default configuration" in-interface=ether1-gateway
Блокировать всё на входе? Может нужно здесь добавить connection-state=new ???
Или это правило как раз таки блокирует всё, кроме while-списка из Access list? Где тогда исключение?

Добавлено через 3 минуты
данное правило у Вас в самом низу, а должно быть в самом верху. Правда оно форвард. Т.е. самым первым правилом дропаем все new соединения из вне.
0
Igor1906
0 / 0 / 0
Регистрация: 17.08.2017
Сообщений: 7
18.08.2017, 09:37  [ТС] #13
Я так понял это правило распространяется только на первый порт, он не используется.
0
NoNaMe
Эксперт по компьютерным сетям
498 / 219 / 35
Регистрация: 10.06.2009
Сообщений: 991
18.08.2017, 10:25 #14
Igor1906, рекомендую настроить фаервол с нуля, для этого вам нужно немного понять его устройство:
IP Firewall Filter. Среди текста есть сылка на Packet Flow.

Из моих наставлений: Правила работают сверху вниз, если вы всё разрешили, то правило ниже которое запрещяющее не отработает.

Если что-то конкретное нужно Drop или Reject, то данные правило очень хорошо подходят для вкладки RAW, тем самым ещё больше снижают нагрузку на оборудование.

В Mangle маркируются пакеты и соединения QoS\ToS\DSCP, всё что касается маркировки пакетов/соединений оно там. Так-же очень удобно откинуть оброботку всех соединений которые уже установлены и дружественные:
Код
/ip firewall mangle
add action=fasttrack-connection chain=prerouting connection-state=established,related
Потом вам необходимо во вкладке NAT разместить все пробросы Портов/Сетей/Маскарады/NAT/Harpin NAT.

И под конец идут правила filters. В них вы настраиваете строгие правила для конкретных подсетей. См. мой пост выше.
1
romsan
Эксперт по компьютерным сетям
1007 / 523 / 94
Регистрация: 17.10.2015
Сообщений: 2,228
18.08.2017, 20:19 #15
Цитата Сообщение от NoNaMe Посмотреть сообщение
Код
/ip firewall mangle
add action=fasttrack-connection chain=prerouting connection-state=established,related
а можно пояснить данное правило?
Про фастрак читал. При добавлении данного правила в мангле, еще и в raw добавилось правило - это что?
И, что, значит стандартное правило форварда и инпута на входе роутера эстаблишед и релатед видимо уже не нужно?
0
18.08.2017, 20:19
MoreAnswers
Эксперт
37091 / 29110 / 5898
Регистрация: 17.06.2006
Сообщений: 43,301
18.08.2017, 20:19
Привет! Вот еще темы с ответами:

Фильтрация сайтов по шаблону - Администрирование Windows
Можно ли создать какой- то фильтр типа *.porn , *.sex и т.д Чтоб пользователи не смогли посещать такие сайты.

Фильтрация сайтов в Lunix - Linux
Не знаю, по теме ли вопрос, возможно ли оградить себя и пользователей от интернет ресурсов для «для взрослых».

Не работает фильтрация - Delphi БД
begin form3.ADOQuery1.Active:=true; form8.show; Form2.hide; date:= DateToStr(MonthCalendar1.Date); TS:= TStringList.Create; ...

Не работает фильтрация - MS Access
Добрый день! Подскажите как правильно реализовать фильтрацию данных в открываемой форме указав условия фильтрации из уже открытой формы....


Искать еще темы с ответами

Или воспользуйтесь поиском по форуму:
15
Ответ Создать тему
Опции темы

КиберФорум - форум программистов, компьютерный форум, программирование
Powered by vBulletin® Version 3.8.9
Copyright ©2000 - 2017, vBulletin Solutions, Inc.
Рейтинг@Mail.ru