Не работает фильтрация сайтов Mikrotik rb750gl

@Igor1906 · Регистрация: 17.08.2017

Author24 — интернет-сервис помощи студентам

Всем добрый день. У меня по каким-то причинам не работает фильтрация сайтов. Сразу говорю, что с оборудованием от данного производителя сталкиваюсь впервые, поэтому прошу простить моё незнание. Миктротик настраивал другой человек, но он пока занят и не может заняться выяснением причины. Сеть работает исправно, в инет выходит, шлюз выставлен именно на этот аппарат, но WhiteList почему-то не работает. Прошу помочь, заранее благодарен. Если нужны какие-либо настройки, кину скрин, или конфиг.

@romsan · 17.08.2017, 16:48

мою тему читали? У Вас так же реализовано?

@NoNaMe · 17.08.2017, 16:56

Давайте начнём с экспорта выложите:

Код

/ip fi fi ex fi=cyberforum.rsc

@romsan · 17.08.2017, 17:11

Не по теме:

Оказывается можно сокращения командам давать =-O

@Igor1906 · 17.08.2017, 17:35 **[ТС]**

Скрин из конфига, я так понимаю это та строчка

@Igor1906 · 17.08.2017, 17:38 **[ТС]**

На счет экспорта, вашим способом могу только завтра, так как уже не на работе. Я пользовался командой /export compact file=config. Не знаю то или нет, и вышел такой конфигурационный файл.

@romsan · 17.08.2017, 17:43

Сообщение от NoNaMe

/ip fi fi ex fi=cyberforum.rsc

/ip - раздел ip
fi - firewall
fi - filters
ex - export
fi - file
ну а дальше понятно. В разделе Files у Вас появится файл cyberforum.rsc. Вот его запакуйте rar-ом например и выложите сюда.

@Igor1906 · 17.08.2017, 17:44 **[ТС]**

Сорри, не заметил, что нельзя файл в таком формате прикреплять, только так

@Igor1906 · 17.08.2017, 17:51 **[ТС]**

Сообщение от romsan

/ip - раздел ip
fi - firewall
fi - filters
ex - export
fi - file
ну а дальше понятно. В разделе Files у Вас появится файл cyberforum.rsc. Вот его запакуйте rar-ом например и выложите сюда.

Хорошо, завтра утром постараюсь скинуть.

@NoNaMe · 17.08.2017, 23:42

Конкретно то что Я вижу в ваших конвигах, это вода.
Добавить:

Код

/ip firewall filter
add action=drop chain=input comment="Drop Invalid connections" connection-state=invalid
add action=drop chain=forward comment="Drop Invalid connections" connection-state=invalid
add action=accept chain=forward dst-address-list=white
/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1-gateway
/ip firewall mangle
add action=fasttrack-connection chain=prerouting connection-state=established,related

Вам нужно с нуля настраивать правила:

В начале разрешающие правила input за ними

Код

/ip fi fi add ch=input reject-with=icmp-admin-prohibited

В начале разрешающие правила forward за ними

Код

/ip fi fi add ch=forward reject-with=icmp-admin-prohibited

В начале разрешающие правила output за ними

Код

/ip fi fi add ch=output reject-with=icmp-admin-prohibited

Про layer7 немного в шоке, представье себе что это обработка каждого пакета. Это работает очень медленно!

Стратегия немного странная, "разрешать только определённые сайты".

Не по теме:

romsan, из ограничений сокращений:
ch - Chain (Можно)
fi - Filters (Можно)
ou - output (Нельзя, для параметров)

@Igor1906 · 18.08.2017, 08:21 **[ТС]**

/ip fi fi ex fi=cyberforum.rsc

Результат

@romsan · 18.08.2017, 08:56

хм... 3-е правило
add action=drop chain=input comment="default configuration" in-interface=ether1-gateway
Блокировать всё на входе? Может нужно здесь добавить connection-state=new ???
Или это правило как раз таки блокирует всё, кроме while-списка из Access list? Где тогда исключение?

Добавлено через 3 минуты
данное правило у Вас в самом низу, а должно быть в самом верху. Правда оно форвард. Т.е. самым первым правилом дропаем все new соединения из вне.

@Igor1906 · 18.08.2017, 09:37 **[ТС]**

Я так понял это правило распространяется только на первый порт, он не используется.

@NoNaMe · 18.08.2017, 10:25

Igor1906, рекомендую настроить фаервол с нуля, для этого вам нужно немного понять его устройство:
IP Firewall Filter. Среди текста есть сылка на Packet Flow.

Из моих наставлений: Правила работают сверху вниз, если вы всё разрешили, то правило ниже которое запрещяющее не отработает.

Если что-то конкретное нужно Drop или Reject, то данные правило очень хорошо подходят для вкладки RAW, тем самым ещё больше снижают нагрузку на оборудование.

В Mangle маркируются пакеты и соединения QoS\ToS\DSCP, всё что касается маркировки пакетов/соединений оно там. Так-же очень удобно откинуть оброботку всех соединений которые уже установлены и дружественные:

Код

/ip firewall mangle
add action=fasttrack-connection chain=prerouting connection-state=established,related

Потом вам необходимо во вкладке NAT разместить все пробросы Портов/Сетей/Маскарады/NAT/Harpin NAT.

И под конец идут правила filters. В них вы настраиваете строгие правила для конкретных подсетей. См. мой пост выше.

@romsan · 18.08.2017, 20:19

Сообщение от NoNaMe

Код
/ip firewall mangle
add action=fasttrack-connection chain=prerouting connection-state=established,related

а можно пояснить данное правило?
Про фастрак читал. При добавлении данного правила в мангле, еще и в raw добавилось правило - это что?
И, что, значит стандартное правило форварда и инпута на входе роутера эстаблишед и релатед видимо уже не нужно?

@NoNaMe · 19.08.2017, 15:05

Данное правило все дружествпнные и установленные соединения, откидывает от обработке вообще. Вот представь себе что-бы каждый пакет обрабатывался? Это медленно и не правильное использование ресурсов.
Это правильный ФастТрэк. Как печально что люди имеют оборудование, но не читают документацию.
Нет не нужно.

@romsan 5097 / 2158 / 462 Регистрация: 17.10.2015 Сообщений: 9,210
	18.08.2017, 08:56	12
	хм... 3-е правило add action=drop chain=input comment="default configuration" in-interface=ether1-gateway Блокировать всё на входе? Может нужно здесь добавить connection-state=new ??? Или это правило как раз таки блокирует всё, кроме while-списка из Access list? Где тогда исключение? Добавлено через 3 минуты данное правило у Вас в самом низу, а должно быть в самом верху. Правда оно форвард. Т.е. самым первым правилом дропаем все new соединения из вне. 0

@Igor1906 0 / 0 / 0 Регистрация: 17.08.2017 Сообщений: 10
	18.08.2017, 09:37 [ТС]	13
	Я так понял это правило распространяется только на первый порт, он не используется. 0

@NoNaMe Модератор 1762 / 671 / 141 Регистрация: 10.06.2009 Сообщений: 2,604
	18.08.2017, 10:25	14
	Igor1906, рекомендую настроить фаервол с нуля, для этого вам нужно немного понять его устройство: IP Firewall Filter. Среди текста есть сылка на Packet Flow. Из моих наставлений: Правила работают сверху вниз, если вы всё разрешили, то правило ниже которое запрещяющее не отработает. Если что-то конкретное нужно Drop или Reject, то данные правило очень хорошо подходят для вкладки RAW, тем самым ещё больше снижают нагрузку на оборудование. В Mangle маркируются пакеты и соединения QoS\ToS\DSCP, всё что касается маркировки пакетов/соединений оно там. Так-же очень удобно откинуть оброботку всех соединений которые уже установлены и дружественные: Код /ip firewall mangle add action=fasttrack-connection chain=prerouting connection-state=established,related Потом вам необходимо во вкладке NAT разместить все пробросы Портов/Сетей/Маскарады/NAT/Harpin NAT. И под конец идут правила filters. В них вы настраиваете строгие правила для конкретных подсетей. См. мой пост выше. 1

@romsan 5097 / 2158 / 462 Регистрация: 17.10.2015 Сообщений: 9,210
	17.08.2017, 16:48	2
	мою тему читали? У Вас так же реализовано? 0

@NoNaMe Модератор 1762 / 671 / 141 Регистрация: 10.06.2009 Сообщений: 2,604
	17.08.2017, 16:56	3
	Давайте начнём с экспорта выложите: Код /ip fi fi ex fi=cyberforum.rsc 1

@romsan
	17.08.2017, 17:11 #4
	Не по теме: Оказывается можно сокращения командам давать =-O 0

@Igor1906 0 / 0 / 0 Регистрация: 17.08.2017 Сообщений: 10
	17.08.2017, 17:35 [ТС]	5
	Скрин из конфига, я так понимаю это та строчка Миниатюры 0

@Igor1906 0 / 0 / 0 Регистрация: 17.08.2017 Сообщений: 10
	17.08.2017, 17:38 [ТС]	6
	На счет экспорта, вашим способом могу только завтра, так как уже не на работе. Я пользовался командой /export compact file=config. Не знаю то или нет, и вышел такой конфигурационный файл. 0

@romsan 5097 / 2158 / 462 Регистрация: 17.10.2015 Сообщений: 9,210
	17.08.2017, 17:43	7
	Сообщение от NoNaMe /ip fi fi ex fi=cyberforum.rsc /ip - раздел ip fi - firewall fi - filters ex - export fi - file ну а дальше понятно. В разделе Files у Вас появится файл cyberforum.rsc. Вот его запакуйте rar-ом например и выложите сюда. 0

@Igor1906 0 / 0 / 0 Регистрация: 17.08.2017 Сообщений: 10
	17.08.2017, 17:51 [ТС]	9
	Сообщение от romsan /ip - раздел ip fi - firewall fi - filters ex - export fi - file ну а дальше понятно. В разделе Files у Вас появится файл cyberforum.rsc. Вот его запакуйте rar-ом например и выложите сюда. Хорошо, завтра утром постараюсь скинуть. 0

@NoNaMe Модератор 1762 / 671 / 141 Регистрация: 10.06.2009 Сообщений: 2,604
	17.08.2017, 23:42	10
	Конкретно то что Я вижу в ваших конвигах, это вода. Добавить: Код /ip firewall filter add action=drop chain=input comment="Drop Invalid connections" connection-state=invalid add action=drop chain=forward comment="Drop Invalid connections" connection-state=invalid add action=accept chain=forward dst-address-list=white /ip firewall nat add action=masquerade chain=srcnat out-interface=ether1-gateway /ip firewall mangle add action=fasttrack-connection chain=prerouting connection-state=established,related Вам нужно с нуля настраивать правила: В начале разрешающие правила input за ними Код /ip fi fi add ch=input reject-with=icmp-admin-prohibited В начале разрешающие правила forward за ними Код /ip fi fi add ch=forward reject-with=icmp-admin-prohibited В начале разрешающие правила output за ними Код /ip fi fi add ch=output reject-with=icmp-admin-prohibited Про layer7 немного в шоке, представье себе что это обработка каждого пакета. Это работает очень медленно! Стратегия немного странная, "разрешать только определённые сайты". Не по теме: romsan, из ограничений сокращений: ch - Chain (Можно) fi - Filters (Можно) ou - output (Нельзя, для параметров) 1

@romsan 5097 / 2158 / 462 Регистрация: 17.10.2015 Сообщений: 9,210
	18.08.2017, 20:19	15
	Сообщение от NoNaMe Код /ip firewall mangle add action=fasttrack-connection chain=prerouting connection-state=established,related а можно пояснить данное правило? Про фастрак читал. При добавлении данного правила в мангле, еще и в raw добавилось правило - это что? И, что, значит стандартное правило форварда и инпута на входе роутера эстаблишед и релатед видимо уже не нужно? 0

@NoNaMe Модератор 1762 / 671 / 141 Регистрация: 10.06.2009 Сообщений: 2,604
	19.08.2017, 15:05	16
	Данное правило все дружествпнные и установленные соединения, откидывает от обработке вообще. Вот представь себе что-бы каждый пакет обрабатывался? Это медленно и не правильное использование ресурсов. Это правильный ФастТрэк. Как печально что люди имеют оборудование, но не читают документацию. Нет не нужно. 1