Mikrotik добавить address list из файла
В прошлой статье мы разобрали как настроить маршрутизацию трафика через VPN, на основе Address Lists . В этой статье хочется собрать информацию и способы для автоматического обновления и создания листов.
Обновление листов представляет из себя выполнение shell команд, которые исполняются на Router OS. Их можно предварительно сгенерировать и выполнить на маршрутизаторе, либо выполнять сразу, в runtime, без создания отдельного файла.
Шаблон файла обновления
В моем случае обновление листа подразумевает удаление всех правил и добавление новых. Необходимости делать точечные изменения у меня не возникало.
В листе выше, мы удаляем все адреса которые присутствуют в листе spotify - remove numbers=[find list=spotify] . Затем идут команды добавления новых адресов add list=spotify address=78.31.8.0/21 их можно добавлять сколь угодно много, но большие обработка больших листов будет отнимать ресурсы роутера, поэтому заливать туда полный список от РКН не рекомендую.
Обновление из сгенерированного файла
Допустим у нас есть сформированный по шаблону файл, который мы генерируем в интернете: на гитхабе или на личном сервере. Для импорта нужно создать скрипт в RouterOS который скачает и выполнит и наш файл.
Для добавления через консоль:
Мы добавили скрипт, с минимальными правами read,write,test , но набор этих прав позволит читать и записывать настройки на роутере, кроме тех которые отвечают за пользователей, поэтому нужно быть уверенным кто контролирует скрипт который будет исполнен на роутере. Подробнее о правах доступа
В нем мы получаем с удаленного сервера сформированный листинг (см. Шаблон файла обновления), сохраняем его в файл spotify.txt и выполняем этот файл.
Почти готово, осталось автоматизировать.
Мы добавили в планировщик задание name=update_spotify_list на выполнение каждые два часа interval=2h . С policy тут несколько сложнее, если из планировщика выполняется другой скрипт, то нужно предоставить все права. Теоретически можно было весь листинг скрипта положить в планировщик и ограничить права, но я предпочитаю когда скрипты лежат в отдельных файлах.
Итак. Мы создали скрипт, который обновляет список адресов в файрволе. Создали скрипт который скачивает этот список и добавили его в планировщик.
Обновление листа без промежуточных файлов
В вышеописанном решение все хорошо, за исключением того, что требуется где-то хостить наш список и формировать его. Как сделать тоже самое на роутере?
Обновление листа через определение ip доменов
Пока искал ссылку на документацию по MikroTik Scripting, наткнулся на статью Писать скрипты для Mikrotik RouterOS — это просто
В ней приведен листинг скрипта, который может делать определение ip адресов доменов и формировать список из них. Весьма удобно, так как иногда бывает что сайты часто меняют свои адреса в попытках борьбы с блокировками.
Для истории приведу листинг скрипта ниже, а его полный разбор с комментариями доступен в оригинальной статье.
Листинг приведенный ниже оставлен для истории. Актуальный находится ниже.
Update 03.08.2020
Бесплатный чек-лист
по настройке RouterOS
на 28 пунктов
Массовое добавление IP адресов в firewall / address list
Раздел для тех, кто начинает знакомиться с MikroTikПравила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Можно ли добавить на роутер (2011UiAS-2HnD) крупный список Ip адресов в firewall / address list иначе, как rsc-файлом с 200 000 строк:
/ip firewall address-list add address=1.32.194.67/32 list=rkn
/ip firewall address-list add address=1.32.194.68/32 list=rkn
/ip firewall address-list add address=1.32.194.195/32 list=rkn
.
Не справляется железка, где-то после 70 000 строк уходит в ребут
Если тема была, сорри, не нашел
Да 200 000 строк не всякий текстовый редактор обработает без проблем. Порежте на 5-6 более мелких файлов и все дела. Вы же в каждой следующей строке просто добавляете запись к листу. Это можно и в несколько этапов делать.Вот уж мне максималисты. Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? . Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем.
Я сомневаюсь (в реализации задуманного на этом оборудовании).
1) РБ2011 слишком стар (по модельному ряду), там памяти 128мб
2) вроде с года полтора-два тут мы игрались с файлами,
могу напутать, но под CHR (под виртуальным микротиком) с памятью
в 256 или 512 мегабайт и с файликом под 70-80к = даже виртуальный
микротик на 2-4 минуты был недоступен.
3) и даже если поделить 200к записей по 20к(10раз) вряд ли устройство
их все сможет принять. Я делаю ставку, что после какова кол-ва,
предел наступает.
В любом случаи, если ТС сделает и поделиться результатами, будет интересно.
На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Коллеги, выходной, почему бы не по-экспериментировать то?
Дано №1:
виртуальный CHR, 2 ядра, частота 1800MHz, памяти 512 (внутри CHR видит 480 Мб)
(это так было уже сделано и в рамках теста я на этим параметрах решил поиграться)
Тест №1 (залить файл адрес-лист)
Нашёл файл фонарный, адаптировал его в виде адрес листа, строк в файле
было = 475417 (размер файла 15,4 мегабайта) импорт файла составил 3 минуты и 7 сек.
При импорте, нагрузка была 52-55%, позже до 67-72%.
Памяти RAM (согласно окну Resource)
Было до: 480 Мб
Стало: 118 Мб
Удаление:
вот это был трэш!!
При удалении реально виртуалка подвиласа и отваливалась.
Работал я по МАКу, позже подключился по IP = тоже самое.
Удалять пришлось по частям, и по мелким.
Занял этот процесс больше часа (уже жалею что не сделал снапшот в виртуализации,
ибо было проще со снапшота вернуть виртуалку, чем удалять почти 460к строк.
Отвечу так, стабильность работы машины (виртуалку) низкая, зависание, поддупливание.
Добавил позже, виртуалке 4гига оперативы, почти ничего не изменилось, подвисание,
потеря связи продолжались. Надёжность такова использования = сомнительная и очень.
==============================================
Дано №2:
виртуальный CHR, 1 ядро, частота 1800MHz, памяти 128 (внутри CHR видит 77 Мб) - Примерно сделал как в РБ2011
Тест №2 (залить файл адрес-лист 201к записей)
Файл сделал ровно 201к записей (размер файла 6,7мегабайта)
При импорте нагрузка была в рамках 75-88%, память таила, за памятью
при первых минутах не следил, но позже, увидел как она достигла
(свободно 5мегабайт) и примерно так и держалось.
Итак, импортирование шло аж 54мин и 47 сек и вылетело потом с ошибкой:
[admin@CHR1-TEST] > import file-name=IPDATA-200k.rsc
action timed out - try again, if error continues contact MikroTik support and send a supout file (13)
Ипортировано 50555 объектов (какое круглое число. ).
Система отвечает, но свободной памяти на момент появившейся ошибки - было 11 мегабайт.
Спустя минуты 3-4 минуты, система показывает 62 мегабайта свободы.
Итак:
1) РБ2011 и при 128мб = не в состоянии прожевать файл большой, 201к записи,
и за 54 минуты лишь 1/4 вошла.
2) При повышении виртуальной машине памяти до 4х гиг, скорость и адаптивность не пришла.
3) Скорее всего для работы в комплексе, нужны и ядра и мощность и оперативность (проверю как-нибудь в другой раз).
Имея в хозяйстве вполне себе неплохой роутер в лице Mikrotik 450G, подумалось мне поэкспериментировать с его возможностями. Конкретно с умением обрабатывать огромнейшие списки адресов для маршрутизации в отличном от основного направления рутинга. Зачем, спросите вы? А вот интересно стало.
В качестве тестового полигона, мне было необходимо найти где-то огромный список IP адресов, чтобы с ним играться. Недолго думая, я взял уже всем известное решение, которое подразумевает использование списка заблокированных адресов Роскомнадзором. Их на самом деле два: первый - список подсетей, который сейчас состоит из почти 20 тысяч записей и список конкретных адресов, который состоит из почти 360 тысяч записей.
Первый мучить было скучно и я взялся за второй. Благодаря ребятам из Роскомсвободы - он есть в наличии, причем в нужном мне JSON формате. Где его брать - писать не буду, захотите - сами найдете.
Итак исходные данные: JSON база на 360 тысяч позиций и необходимость его превращения в текстовый файл со строками в виде
А теперь подробнее. Начнем с первой функции. Она выглядит вот так:
Зачем нам нужен item.match? А дело в том, что RouterOS не хочет брать в адресные списки IPv6 адреса. Вылетает с ошибкой и до свидания. Поэтому нам нужно отфильтровать весь список на соответствие IPv4, который слава богу делается простеньким RegExp при обработке каждого элемента массива. Кстати это уменьшает объем данных почти на 150 тысяч строк.
Функция берет каждый элемент массива, проверяет на соответствие IPv4 и добавляет в начало необходимый текст. После этого, массив преобразовывается в текст, а так как при преобразовании, в качестве разделителя появляется запятая, мы ее заменяем на перевод строки.
После обработки функцией, нам теперь достаточно сохранить полученный результат в файл. Пусть это будет файл /home/file.rsc, который мы и указываем в ноде сохранения файла.
А дальше мы даем системе немного передохнуть, так как на такой объем данных было потрачено очень много памяти и после этого запускаем наш скрипт.
* там в одном месте надо ставить плюсик (оно помечено) и не забываем ставить свои логин и пароль вместо user:password
Что он делает? Он разделяет наш большой файл с командами на маленькие, размером в 1 мегабайт. Это необходимо для того, чтобы роутер не сходил с ума и спокойно, по чуть-чуть, мог забирать себе данные порционно. Иначе он вылетает с ошибкой.
Команда split как раз и разбивает файл file.rsc на кучу файлов smallXX.rsc, где XX это циферные суффиксы, которые создаются автоматически.
В самом начале скрипта, мы записали во временный файл текст "finish", потом добавили в него список наших файлов, а сделано это для того, чтобы команда tail, брала из временного файла /tmp/ftplist нужный нам файл, закачивала его и переходила на строку выше. Как только цикл дойдет до текста "finish" - скрипт завершит работу.
В итоге работы этой связки, мы получаем загруженную пачку файлов (на текущий момент их 12), в которых содержатся 206 тысяч строк.
А дальше мы переходим на Mikrotik, чтобы настроить эти списки и загружать их автоматически. Для этого нам понадобятся скрипты. но сначала нам нужно будет создать какой нибудь список адресов.
Для этого мы идем в раздел Firewall и во вкладке Address Lists создаем нужный нам список, например с названием anywhere.
Далее мы создаем скрипт, под названием clearlist, который будет очищать наш огромный список.
Он очень простой и запускается несколько раз, на тот случай если первый запуск вылетит с ошибкой. Список то огромный и так у меня бывало несколько раз, что он не очищался полностью. Вообще в идеале запускать его несколько раз до полной очистки.
Затем мы создаем еще один скрипт, который и будет загружать наши данные в список адресов роутера. Он выполняется пошагово, с паузами, чтобы бедному роутеру дать время для разгрузки процессора, который в момент загрузки - загружен на 100%.
Скрипт выглядит вот так:
Можно конечно сделать по умному и использовать различные переборы, но так намного проще и не нужно выдумывать. Благо если файлов меньше чем указано, он просто пропустит, а если файлов больше - когда нибудь вы это увидите, благо списки растут не так быстро.
Собственно после длительного ожидания - мы получаем полностью загруженные списки адресов, которые полностью готовы к работе.
Чтобы их использовать, надо настроить маршрутизацию. Допустим у вас есть какой нибудь второй провайдер или VPN, который уже настроен и функционирует. Тогда нам нужно создать таблицу маршрутизации, правило маршрутизации и указать маршрут в нужном направлении, с учетом созданных правил.
После этого, на вкладке Mangle, раздела Firewall, нужно создать правило, которое будет маркировать пакеты с точкой назначения из нашего мега-списка, как необходимые отправлять в отличном от основного маршрута направления.
Вот в общем то и все. Огромный список крутится, обновление можно настроить по любому расписанию, только необходимо учесть, что очистка списка занимает минут 20, а его загрузка где то полчаса. Поэтому это лучше делать или вручную или с помощью штатного Scheduler в RouterOS, просто расписание нужно настроить с учетом этих временных задержек.
Статья является продолжением первой, второй и третьей частей, посвящённых организации практической безопасности сетей, построенных на оборудовании MikroTik. Ранее были рассмотрены общие рекомендации, безопасность уровней L1, L2 и L3, реализация централизованного логирования. Настало время поговорить про развёртывание IDS и её интеграцию в инфраструктуру RouterOS.
11. Настройка IDS
Посредством зеркалирования информации, передающейся через конкретный порт роутера (для этого необходимо проверить на сайте производителя, умеет ли он так делать). Тип имеющейся микросхемы можно посмотреть так:
Этот вариант подойдёт, если вы развернёте Suricata внутри вашего LAN на железе, так как должно быть физическое соединение между зеркалируемым портом и его коллектором, тогда:
Сохранять передающийся трафик можно с помощью Tcpdump. Если такой вариант вас не устраивает, тогда рекомендую использовать арендованный VDS сервер более мощной конфигурации:
Для зеркалирования трафика можно использовать встроенное в RouterOS программное обеспечение Packet-sniffer:
Довольно грубое решение. Пакеты пересылать, разумеется, нужно по шифрованному VPN туннелю, который может быть достаточно узким, и тогда часть пакетов будет теряться. Для зеркалирования MikroTik применяет протокол TZSP, трафик будет обрамляться служебными заголовками и передаваться UDP пакетами, и тут уже без потерь никак. Для более точной настройки можно вместо Packet-sniffer использовать Firewall mangle (в примере отбираются пакеты для Winbox службы и SSH):
Firewall mangle подробно изучается на курсе MTCTCE (MikroTik Certified Traffic Control Engineer). Скажем только, что гибкость при его настройке достаточно высокая, и умелыми руками можно здорово дифференцировать пакеты. Сохранять передающийся трафик, конечно, можно с помощью Tcpdump, однако наличие служебных заголовков протокола TZSP доставляет хлопот:
Для обратного преобразования зеркалируемого трафика к первоначальному виду можно использовать программы: Trafr (настройка рассмотрена здесь) или Tzsp2pcap:
После этого создаем виртуальный интерфейс, поднимаем для него MTU, чтобы пакеты не обрезались (IP адрес 192.168.3.254 выбран случайно):
В режиме реального времени сервер будет принимать зеркалируемый трафик, снимать с него служебные заголовки протокола TZSP и ретранслировать его на виртуальный интерфейс eth10:
Трансмиссию привели в порядок, приступим к настройке IDS. С параметрами по умолчанию все будет хорошо работать (правила хранятся в /etc/suricata/rules/), не забудем только уточнить домашнюю сеть (192.168.15.9 – IP адрес роутера в VPN):
Лог всего трафика, проходящего через Suricata, можно посмотреть так:
Лог детектированных угроз лежит здесь /var/log/suricata/fast.log. Настало время испытаний.
12. Из IDS в IPS
IDS расшифровывается как Intrusion Detection System – система обнаружения вторжений. IPS (Intrusion Prevention System) – система предотвращения вторжений. На текущий момент наша Suricata анализирует зеркалируемый на нее трафик и, в случае обнаружения угроз, сохраняет их описание в лог. Посмотрим, справляется ли она со своими задачами. Попробуем развернуть bruteforce атаку на SSH службу нашего роутера:
Как мы видим, угроза была детектирована: «Potential SSH Scan». Попробуем выполнить nmap сканирование роутера:
Suricata и в этом видит угрозы:
Теперь наша задача обрабатывать получаемый лог, выделять угрозообразующие IP адреса и блокировать их на MikroTik-е. Для этого уже существует готовое решение: PHP скрипт fast2mikrotik по API добавляет их в /ip firewall address-list. Однако у нас он в итоге так и не заработал, поэтому далее мы представим вариант собственной реализации. Здесь немного отвлечемся от темы. Управлять роутером посредством API это очень заманчиво, так как уже имеется готовый PHP класс.
Активируем API в RouterOS:
И кидаем на маршрутизатор команды, примерно так:
Можно, конечно, работать через API по SSL, подготовив заранее сертификаты, чтобы все было безопасно, но мы решили выполнить интеграцию по-другому и пошли своим путем, может, не самым эффективным, но удобным, так как отсутствует необходимость запуска и настройки дополнительных сервисов, таких как база данных, например. Команды будем передавать примерно так, как показано ниже:
Полный Bash скрипт под спойлером.
Код прокомментирован и ясен. Результат его работы на RouterOS выглядит примерно так:
Лучше это делать в RAW filter, так как пакеты будут отброшены в самом начале обработки их маршрутизатором и не потратят зря имеющиеся ресурсы. Это хорошо видно в схеме прохождения трафика внутри RouterOS, взятой у этих ребят:
Попробуем повторить брутфорс службы SSH роутера:
Как видно, все было детектировано и соответственно заблокировано на маршрутизаторе. Поэтому можно говорить, что из IDS наша реализация превратилась в IPS. Здесь стоит еще упомянуть коммерческий проект, в котором уже все это решено за нас, можно брать и пользоваться. Поставляется в виде готовой сборки ISO.
13. Заключение
Вот и подошёл к концу цикл наших статей, посвящённый широким возможностям операционной системы RouterOS, а также сопрягаемых с ней opensource решений. В комплексе организованная безопасность уровней L1, L2 и L3, реализация централизованного логирования, интегрированное IPS решение позволяют говорить, что наш MikroTik – это полноценный барьер для разноуровневых угроз, нацеленных на защищаемую сеть. То, что не умеет делать RouterOS, можно допилить самому готовыми бесплатными решениями.
И вот еще о чем важном мы не упомянули. Всегда помните, что в любой, даже в самой технически защищённой системе, остаётся слабое место – человек её обслуживающий. Здесь использован перифраз известной цитаты Кевина Митника из книги «Искусство обмана»: «Человеческий фактор по-настоящему самое слабое звено в безопасности». Поэтому гигиена, в том числе цифровая, никогда не теряет актуальности, особенно в период пандемии.
Когда настраивается маршрутизатор, который отвечает за доступ к сети для нескольких человек, то достаточно прописать правила для конкретных адресов в firewall filter rules и на этом успокоится, но когда ip, которым нужно прописать доступ, не один десяток?
Для решения проблемы управления большим количеством ip адресов в MiktoTik Router OS есть механизм сознания списков адресов и объединения их в группы. Дальше составления правил для firewall-а идет на основании этих групп. Адреса можно добавлять как в ручную, так и динамически с помощью правил.
Рассмотрим ручное добавление адресов:
Перейдем в раздел address-list.
Для дальнейших примеров будем использовать описанную ранее конфигурацию сети:
Сразу видно, что адреса можно разделить на три группы доступа:
- SERVER (192.168.0.2)
- FULL (192.168.0.10)
- USER (192.168.0.20, 192.168.0.21, 192.168.0.22)
Группа создается простым упоминанием о ней. Добавим адрес 192.168.0.2 в группу SERVER:
Адрес 192.168.0.10 в группу FULL:
Адресa 192.168.0.20, 192.168.0.21, 192.168.0.22 в группу USER:
Посмотрим, что у нас получилось:
Теперь можно пересмотреть наши правила, созданные раннее.
Правила для администратора, написанные ранее:
Изменим правила сервера, созданные ранне:
Пока что оптимизация не большая, но сейчас займемся правилами для доступа простых пользователей и вместо блока, повторяющегося 3-и раза для каждой машины:
Создадим блок правил для группы USER:
Теперь, когда в сети появляется новая машина, которой нужно дать права для доступ в сеть, то достаточно добавить ее в соответствующую группу адресов. На пример у нас появляется новая машина с адресом 192.168.0.23, которой нужен доступ как и остальных пользователей группы USER, но за исключением доступа к ICQ и JABBER, ну уж очень болтливый пользователь 🙂
Добавим его в группу USER, а так же в новую группу BLOCK_IM
Теперь машина с ip адресом 192.168.0.23 уже имеет доступ, оговоренный для группы USER, но не блокируется траффик ICQ и JABBER.
Создадим дополнительные правила для группы BLOCK_IM.
Посмотрим, что получилось:
В таком варианте блокирование траффика IM не будет т.к. правила разрешающие его 19, 20, 21, 22 стоят выше, чем блокирующие 24, 25, 26, 27. Поднимем их повыше.
Но адреса можно добавлять не только в ручную, но и динамически, для этого используется таблица Mengle.
Рассмотрим динамическое добавление адресов.
К примеру, нам необходимо заблокировать пользователей, подключающихся из вне к маршрутизатору по протоколу Telnet.
Создаем правило в таблице Mangle, которое добавляет ip адрес источника при попытке подключиться по протоколу tcp на 23 порт через интерфейс ether1, который подключен к провайдеру в группу BLOCK.
Теперь создадим правило, которое будет блокировать ip адреса, внесенные в группу BLOCK, а заодно поднимем правило на самый верх таблицы.
После того, как кто то попробует подключиться к маршрутизатору из вне, то, он автоматически будет включен в группу BLOCK, как это получилось с адресом 192.168.1.217.
Сергей, а как можно с микротика получить текущую загрузку канала отдельно каждого пользователя? Я нашел только общий график загрузки канала (в winbox или через веб-интерфейс).
Можно создать индивидуальные правла для клиентских IP и определенных интерфейсов в /queue simple и считывать показания Upload Rate и Download Rate.
С Vlan-ами действидельно существует какая то магия, которую я до конца еще не разобрал (на одном внешнем интерфейсе 5-ть адресов, а отвечает только первый не зависимо на какой приходит запрос), но это мелочи, которые сильно не мешают.
У меня похожая ситуация с локальной сетью в подсети провайдера, которая объединяет филиалы, там так же требовалось снять ограничение по скорости.
Решение простое в simple queue правила выполняются по порядку, так же как и в firewall rules, так что достаточно в самом начале таблицы (вверху) завести правило, что все соединения, направляющиеся в подсеть 172.30.0.0/16 идут либо без ограничения, либо с ограничением в 100Мб, причем тут можно задать ограничения на конкретных пользователей, которые будут иметь большую скорость (на пример те, которые работают с файлами по сети) и пользователи, которым большая скорость не нужна (терминальные клиенты), что бы случайно кто то не нагрузил канал, когда он действительно понадобится.
Можно еще для подстраховки сделать несколько правил для доступа в бесплатную сеть, но которая скрывается за внешним ip, одно без ограничения, другое с большим ограничением (буквально в 3кб/с), в первом надо указать интерфейс, который действительно смотрит в ту сеть, а во втором будет другой внешний интерфейс. Надо это для того, что бы если станет проблема с маршрутизацией (по причине отказа интерфейса для доступа без ограничений), что бы трафик не пошел по каналу, который выставить счет за такие глупости.
Очередь применяется к реальным интерфейсам, попробуй выбрать в качестве исходящего интерфейса физический интерфейс на котором создан vlan.
Категорически полезный tutorial.
Кто умеет работать с Cisco и осознает насколько дорогие у них решения, не должен пропустить знакомство с Микротиком. Здесь могут быть решены нетривиальные сетевые задачи так же легко и надежно.
Функции для работы с протоколом TCP/IP :
Firewall и NAT – мощные настройки фильтрации пакетов (применимо к P2P соединениям), прекрасная реализация SNAT и DNAT, возможность классификации пакетов по:
MAC-адресу источника;
IP адресам (возможность задания сетей);
диапазонам портов;
IP протоколам;
опциям протоколов (ICMP типам, TCP флагам и MSS);
интерфейсам;
внутренним цепочкам маркированных пакетов;
ToS (DSCP);
по содержимому пакетов;
по размеру пакетов и др;
К моему вопросу применимы последнии 4 пункта
Вообще по моему это работа для proxy.
Вариант номе два firewall filter можно создать правило, с параметром content= "blablabla ", правда сильно много я с этим не игрался и получилось это только если это "blablabla " содержится в адресе.
Добырй День! Подскажите пожалуйста, можно ли в Queues List добавить сразу груупа адресов?то есть у меян етьс дареса 192.168.0.1-255 могу ли я их все сразу, а не по одному добавить в список?
Да, можно, объединяешь адреса в группу, маркируешь пакеты этой группы и потом строишь ограничения для этих пакетов.
Доброго времени суток !
Причем на все адреса .
Будет ли при этом блокироваться mTorrent ?
Попробуйте такое.
/ip firewall filter add p2p=all-p2p action=drop
Сергей, скажите, тут нет ошибки? в листе указываем list=FULL а в firewall filter: -address-list= "ADMIN "
Это просто опечатка? или так должно быть?
Я собираю для себя сервер по вашим инструкциям
[mkt@MikroTik] /ip firewall address-list> add address= "192.168.0.10/32 "
list=***** "FULL "****** comment= "Administrator "
Можно переписать так:
[mkt@MikroTik] > ip firewall filter add chain=forward dst-address-list=***** "ADMIN "*****
action=accept comment= "Allow all for group ADMIN "
Да, есть. Большое спасибо, что указали на нее, правила подправил.
ip firewall mangle add chain=prerouting protocol=tcp dst-port=23 in-interface=ether1 action=add-src-to-address-list address-list= "BLOCK "
ip firewall filter add chain=forward src-address-list= "BLOCK " action=drop comment= "Block incomming from group BLOCK "
Сергей скажите, можно как нибудь настроить микротик, чтобы он собирал самые посещаемые сайты? и потом добавить на них приоритет? или лучше просто прокси запустить?
Ну если сильно захотеть, то все можно, только будет ли от этого польза.
Доброе время суток Сергей! Во-первых хочу поблагодарить тебя за отличные статьи по Микротику. Все описано ясно и понятно даже не сильно посвященному.
Возникла проблема которую долго не могу решить:
есть сервер через интернет к нему конектятся, интернет раздает РС с микротик, конектятся постоянно одни и тежи, но статического ip у них нет. Требуется сделать доступ по МАК адресу, чтобы левые пользователи не могли попасть на сервер. Как привязаться к только МАКу в Микротике так и не понял. Если можешь то подскажи как сделать или хотябы в какую сторону рыть. Может есть иные способы решения не через привзку к Маку. Микротик 2.9. Заранее благодарен за помощь! С Ув.Вадим.
Привязка в маку обычно предполагает связку mac-ip, для этого есть таблица ARP в разделе ip, но коль адрес не постоянный, то смею предположить, что у Вас еще dhcp, то тут я бы сделал сперва привязку в dhcp, что бы конкретному маку выдавался конкретный ip, а потом бы сделал привязку в arp, что если бы кто то другой получил этот ip, то из за не соотвествия mac-у у ниго бы ничего не работало.
Сергей наверно я плохо описал ограничить доступ (фильтрация) нужно людям входящим не из локальной сети, Dhcp на локалку настроен, а тем кто коннектится к серверу из интернета.
PS или я не до конца разобрался? и dhcp можно сделать и для входящих из интернета (только не совсем понятно как это реализовать?) С Ув.Вадим
Здравствуйте Сергей. Объясните мне пожалуйста, поставил себе Микротик. Настроил Web-Proxy, все пользователи в интернет через браузер ходят через него, а вот icq не хочет конектиться к своему серверу, говорит проверьте настройки Proxy.
Странно, я Web-proxy практически не использую на микротике, но буквально сейчас включил, сделал проверку браузером, аськой, джабером, все сразу же заработало (пробовал не прозрачный прокси), может в настройках клиента аськи чего не того?
Здравствуйте
Подскажите или дайте ссылку по настройке Микротика через Винбокс. Мне нужно настроить ограничение по загрузке файлов (фильмы, музыка и прочая отвлекающая пользователей хрень), также настроить черный список сайтов.
Здравствуйте Сергей! Подскажите как в ВинБоксе настроить черный список сайтов! Помогите пожалуйста!
Вариант 1: Использовать web-proxy и уже там прописывать сайты.
Вариант 2: В фаерволе делать правила фильтрации на основании контента (на второй вкладочке можно указать), но работает не всегда.
Вариант 3: В фаерволе делать правила фильтрации по ip адресам сайтов.
Для себя делал скрипт, который читал из файла черный список сайтов, получал ip адреса этих сайтов, подключался к микротику и вносил в адрес лист эти ip в определенную группу, а уже в фаерволе были правила, которые запрещали соединения с адресами из этой группы. Главное было поддерживать список в актуальном состоянии и раз в какое то время запускать скрипт.
имеется wan1 интефейс на нем поднят dhcp клиент из сетки 192,168,1,0/24 за натом находится сеть 10,10,10,0/24 Вопрос как настроить микротик чтобы из первой сети был доступ во вторую?
Здравствуйте Сергей. Подскажите пожалуйста имеются два микротика подключённых к городской LAN, между ними я поднял EoIP тунель, на одном из них поднят интернет (через PPPoE) на все шлюзы он раздаёт, как сделать так что бы интернет был и на втором марше с которым первый соединён по EoIP. Спасибо.
Может чего те не так в настройках сервера pptp, ведь при подключении он назначает новый адрес и шлюз.
Спасибо, что ответили, нет, в настройках pptp всё ок, диапазон адресов в сети выдаётся dhcp, а при подключении по pptp клиент получает адрес vpn, этот адрес и указан в списке пользователей
Помогите пожалуйста. Не знаю как настроить IP-TV на MikroTik RB750GL.Провайдер Триолан. Заранее спасибо.
Читайте также: