0 / 0 / 0
Регистрация: 17.08.2017
Сообщений: 10
|
|
1 | |
Не работает фильтрация сайтов Mikrotik rb750gl17.08.2017, 14:25. Показов 1371. Ответов 15
Метки нет (Все метки)
Всем добрый день. У меня по каким-то причинам не работает фильтрация сайтов. Сразу говорю, что с оборудованием от данного производителя сталкиваюсь впервые, поэтому прошу простить моё незнание. Миктротик настраивал другой человек, но он пока занят и не может заняться выяснением причины. Сеть работает исправно, в инет выходит, шлюз выставлен именно на этот аппарат, но WhiteList почему-то не работает. Прошу помочь, заранее благодарен. Если нужны какие-либо настройки, кину скрин, или конфиг.
0
|
17.08.2017, 14:25 | |
Ответы с готовыми решениями:
15
Блокировка сайтов на Mikrotik Блокировка сайтов через Mikrotik Mikrotik и история посещения сайтов Сбор информации о посещаемых сайтов каждые ip на Mikrotik |
Модератор
1762 / 671 / 141
Регистрация: 10.06.2009
Сообщений: 2,604
|
|
17.08.2017, 16:56 | 3 |
Давайте начнём с экспорта выложите:
Код
/ip fi fi ex fi=cyberforum.rsc
1
|
romsan
|
17.08.2017, 17:11
#4
|
Не по теме: Оказывается можно сокращения командам давать =-O
0
|
0 / 0 / 0
Регистрация: 17.08.2017
Сообщений: 10
|
|
17.08.2017, 17:35 [ТС] | 5 |
Скрин из конфига, я так понимаю это та строчка
0
|
0 / 0 / 0
Регистрация: 17.08.2017
Сообщений: 10
|
|
17.08.2017, 17:38 [ТС] | 6 |
На счет экспорта, вашим способом могу только завтра, так как уже не на работе. Я пользовался командой /export compact file=config. Не знаю то или нет, и вышел такой конфигурационный файл.
0
|
5097 / 2158 / 462
Регистрация: 17.10.2015
Сообщений: 9,210
|
|
17.08.2017, 17:43 | 7 |
/ip - раздел ip
fi - firewall fi - filters ex - export fi - file ну а дальше понятно. В разделе Files у Вас появится файл cyberforum.rsc. Вот его запакуйте rar-ом например и выложите сюда.
0
|
0 / 0 / 0
Регистрация: 17.08.2017
Сообщений: 10
|
|
17.08.2017, 17:44 [ТС] | 8 |
Сорри, не заметил, что нельзя файл в таком формате прикреплять, только так
0
|
0 / 0 / 0
Регистрация: 17.08.2017
Сообщений: 10
|
|
17.08.2017, 17:51 [ТС] | 9 |
0
|
Модератор
1762 / 671 / 141
Регистрация: 10.06.2009
Сообщений: 2,604
|
|
17.08.2017, 23:42 | 10 |
Конкретно то что Я вижу в ваших конвигах, это вода.
Добавить: Код
/ip firewall filter add action=drop chain=input comment="Drop Invalid connections" connection-state=invalid add action=drop chain=forward comment="Drop Invalid connections" connection-state=invalid add action=accept chain=forward dst-address-list=white /ip firewall nat add action=masquerade chain=srcnat out-interface=ether1-gateway /ip firewall mangle add action=fasttrack-connection chain=prerouting connection-state=established,related В начале разрешающие правила input за ними Код
/ip fi fi add ch=input reject-with=icmp-admin-prohibited Код
/ip fi fi add ch=forward reject-with=icmp-admin-prohibited Код
/ip fi fi add ch=output reject-with=icmp-admin-prohibited Стратегия немного странная, "разрешать только определённые сайты". Не по теме: romsan, из ограничений сокращений:
1
|
0 / 0 / 0
Регистрация: 17.08.2017
Сообщений: 10
|
|
18.08.2017, 08:21 [ТС] | 11 |
0
|
5097 / 2158 / 462
Регистрация: 17.10.2015
Сообщений: 9,210
|
|
18.08.2017, 08:56 | 12 |
хм... 3-е правило
add action=drop chain=input comment="default configuration" in-interface=ether1-gateway Блокировать всё на входе? Может нужно здесь добавить connection-state=new ??? Или это правило как раз таки блокирует всё, кроме while-списка из Access list? Где тогда исключение? Добавлено через 3 минуты данное правило у Вас в самом низу, а должно быть в самом верху. Правда оно форвард. Т.е. самым первым правилом дропаем все new соединения из вне.
0
|
0 / 0 / 0
Регистрация: 17.08.2017
Сообщений: 10
|
|
18.08.2017, 09:37 [ТС] | 13 |
Я так понял это правило распространяется только на первый порт, он не используется.
0
|
Модератор
1762 / 671 / 141
Регистрация: 10.06.2009
Сообщений: 2,604
|
|
18.08.2017, 10:25 | 14 |
Igor1906, рекомендую настроить фаервол с нуля, для этого вам нужно немного понять его устройство:
IP Firewall Filter. Среди текста есть сылка на Packet Flow. Из моих наставлений: Правила работают сверху вниз, если вы всё разрешили, то правило ниже которое запрещяющее не отработает. Если что-то конкретное нужно Drop или Reject, то данные правило очень хорошо подходят для вкладки RAW, тем самым ещё больше снижают нагрузку на оборудование. В Mangle маркируются пакеты и соединения QoS\ToS\DSCP, всё что касается маркировки пакетов/соединений оно там. Так-же очень удобно откинуть оброботку всех соединений которые уже установлены и дружественные: Код
/ip firewall mangle add action=fasttrack-connection chain=prerouting connection-state=established,related И под конец идут правила filters. В них вы настраиваете строгие правила для конкретных подсетей. См. мой пост выше.
1
|
5097 / 2158 / 462
Регистрация: 17.10.2015
Сообщений: 9,210
|
|
18.08.2017, 20:19 | 15 |
а можно пояснить данное правило?
Про фастрак читал. При добавлении данного правила в мангле, еще и в raw добавилось правило - это что? И, что, значит стандартное правило форварда и инпута на входе роутера эстаблишед и релатед видимо уже не нужно?
0
|
Модератор
1762 / 671 / 141
Регистрация: 10.06.2009
Сообщений: 2,604
|
|
19.08.2017, 15:05 | 16 |
Данное правило все дружествпнные и установленные соединения, откидывает от обработке вообще. Вот представь себе что-бы каждый пакет обрабатывался? Это медленно и не правильное использование ресурсов.
Это правильный ФастТрэк. Как печально что люди имеют оборудование, но не читают документацию. Нет не нужно.
1
|
19.08.2017, 15:05 | |
19.08.2017, 15:05 | |
Помогаю со студенческими работами здесь
16
Фильтрация сайтов по шаблону Фильтрация сайтов в Lunix Фильтрация сайтов на школьных компьютерах Фильтрация сайтов через ноутбук. Как? Искать еще темы с ответами Или воспользуйтесь поиском по форуму: |