Osamich, давно не писал регулярок под fail2ban. На сколько помню, он хочет увидеть ip или hostname в регулярке. Т.к. в строке лога, хоста у Вас нет, то и мапить в host group нечего. Если Вы не используете host group в правилах блокировки(или не блокировки?), то можно попробовать подсунуть какую-нибудь неинтересующую Вас информацию в качестве hosname.
vvchumanov: wiki.mikrotik.com/wiki/Hairpin_NAT
Добавьте первым правилом в NAT-таблице: /ip firewall nat add chain=srcnat src-address=192.168.1.0/24 dst-address=192.168.88.2 protocol=tcp dst-port=80 action=masquerade
Советую Вам обновить прошивку. В новой версии нет необходимости в hairpin nat'е.
vvchumanov: определитесь, есть доступ или нет, а то волшебством попахивает. Говорите есть доступ из локалки и с внешки, и тут же говорите, что из локальной сети его нет. Ерунда полная. Давайте продолжим с пункта, с которого следовало начать. Выкладывайте конфиг: /export hide-sensitive
Maksim: Всё же, микротик(маршрутизатор) и керио(прокси) разные продукты.
Из готовой статистики в микротике, - только графики загрузки интерфейсов(в том числе и загрузки pptp, wlan и подобных).
Из оповещений, микротик умеет и смс и почту, так что, возможно, Вам и хватит его возможностей, но придётся поковыряться.
Само собой, такой картины, как с анализатора neflow не получите, но, может, она Вам и не нужна?
Не думаю, что это реально сделать. Можно виртуалку поднять на маршрутизаторе и на нём все сервисы, что вам нужны, но Вы должны очень хорошо понимать что Вы делаете и всё равно нормального мониторинга без ущерба для маршрутизатора не получится. Будет тупить и влиять на работу сети. Дело в том, что тот же фаервол использует ресурс CPU, а значит его производительность будет зависить и от наличия виртуалки.
Короче говоря, функционал маршрутизатора, - работа с трафиком, а не анализ статистики. Решение со сквидом, предложенное bely87, возможно, самое безболезненное для предприятия.
vvchumanov: Обсуждение вопроса сильно затянулось. Классическое решение будет выглядеть, примерно, так:
1. Локальные порты маршутизатора объединяете в bridge. Желательно, с учётом физики железа. Т.е. с использование ASIC'ов там, где возможно;
2. Делаете маскарадинг получившегося брижда на внешний интерфейс;
3. Делаете DNAT на пор внутренней машины.
Приведу 100% рабочую конфигурацию. Ньюансов в ней полно, но помочь разобраться она может.
Чистый конфиг рабочей конфигурации может выглядеть так:
Создаём бридж для локальной сети
/interface bridge
add auto-mac=no mtu=1500 name=bridge-local
Запихиваем в него интерфейсы локальной сети. Учтите, что трафик bridge обрабатывается CPU, что гораздо медленнее, а не ASIC'ом.
/interface bridge port
add bridge=bridge-local interface=ether2
add bridge=bridge-local interface=ether3
Делаем заготовки для локального DHCP сервера
/ip pool
add name=default-dhcp-pool ranges=192.168.88.10-192.168.88.254
После этого, клиенты на ether2 и ether3 получат ip из диапазона /ip pool default-dhcp-pool
Укажем статикой 192.168.88.1. Этот ip выступит в качестве шлюза для маршрутов по-умолчанию.
Адрес 109.68.169.1 взят наобум. Будет адресом провайдера и повесим его на интерфейс ether1.
/ip address
add address=192.168.88.1/24 interface=bridge-local network=192.168.88.0
add address=109.68.169.1/24 comment="static provider ip" interface=ether1 network=109.68.169.0
Создаём правило NAT для выхода из локальной сети (action=masquerade) и проброса порта снаружи (action=dst-nat)
/ip firewall nat
add action=masquerade chain=srcnat comment=WAN-NAT out-interface=ether1 to-addresses=0.0.0.0
add action=dst-nat chain=dstnat comment=WEB dst-port=80 in-interface=ether1 protocol=tcp to-addresses=192.168.88.254 to-ports=80
Это или похожее решение должно бы создасться QuickSet'ом из WinBox'а.
Перепутал слова местами =) Конечно же /ip firewall export
Да, через ssh сработает. По сути, сработает любой консольный доступ. Варианты: telnet, ssh и new terminal через winbox или web-интерфейс.
Проверьте, в таком случае, в actions параметр actionstop. Думаю, Вы захотите его отчистить, что бы при релоаде и остановке fail2ban'а такого не происходило.
И, да, протестировать получившийся фильтр можете с помощью утилиты fail2ban-regex.
fail2ban-regex path_to_log path_to_filter
fail2ban-regex <строка из лога> path_to_filter
fail2ban-regex <строка из лога> <строка регулярного выражения>
После добавления фильтра и его активации (enabled = true), проверьте fail2ban-cliets status и перезапустите fail2ban-client reload. Это подтянет изменения фильтров на рабочем приложении.
Написано
Войдите на сайт
Чтобы задать вопрос и получить на него квалифицированный ответ.