Ответы пользователя по тегу Firewall
  • Как настроить Firewall Mikrotik с Fasttrack?

    @moneron89
    Сертифицированный тренер Mikrotik
    Здравствуйте! Ваш фаервол достаточно полон, но немного не оптимален. Обратите внимание, fasttrack у Вас относится к etsablished и related подключениям (что абсолютно верно), а в input для этого два правила. Их можно свести в одно. Под правилом fasttrack техподдержка микротик рекомендует добавить точно такое же правило с действием accept для тех пакетов, которые идут по slowpath. Invalid'ы дропаем, тут всё верно. А дальше Вы немного нагромоздили. Если микротик не запрещает что-то в фаерволе – значит, трафик разрешён. Поэтому разрешение lan-wan – лишнее. Чтобы защититься от попадания в Вашу локалку можно использовать параметр connection-nat-state. Если у Вас более одного wan-интерфейса – сделайте interface-list и добавьте их туда, если один – это не обязательно. А правило такое:
    /ip firewall filter
    add chain=forward in-interface-list=WANs connection-nat-state=!dst action=drop

    Этим правилом Вы защищаетесь от попыток маршрутизации в Вашу локалку. При этом, если Вы пробрасываете порты с помощью dst-nat, проброс произойдёт. Интерфейс-лист можно заменить на in-interface=<имя одного wan>.
    А Ваши jump'ы – это избыточное, хотя не неправильное решение.
    Ответ написан
  • Как снизить нагрузку ЦП в MikroTik при скачивании торрента?

    @moneron89
    Сертифицированный тренер Mikrotik
    /ip firewall filter add chain=forward connection-state=established,related action=fasttrack-connection
    /ip firewall filter add chain=forward connection-state=established,related action=accept
    Ответ написан
  • Не могу пинговать свой микротик?

    @moneron89
    Сертифицированный тренер Mikrotik
    Action-route лучше использовать вместе с дст-адресом.
    Давайте посмотрим, что мы делаем этим правилом?
    В прероутинге (решение о маршрутизации ещё не принималось) мы ВСЕ запросы с одного компа передаём на шлюз провайдера. Даже запросы к вашей локальной подсети. Естественно, что провайдер о вашей подсети 10.0.0.0/x ничего не знает и запросы дропаются. Как вариант - укажите dst-address=!10.0.0.0/x, но это не самое удобное для дебага решение.
    Для source-роутинга используйте mark-routing либо IP-route-rules. Официальная Wiki вам поможет в этом вопросе.
    Ответ написан
  • Как проходит пакеты в Simple Queue Mikrotik?

    @moneron89
    Сертифицированный тренер Mikrotik
    Очереди ведут себя так же, как и фаервол. Пакет сравнивается по условиям сверху вниз. При совпадении очередь применяется и пакет с нижестоящими правилами не сравнивается. Поэтому более узкие (по условиям) очереди нужно размещать выше более общих. Например, если вы хотите для подсети назначить определённую скорость, но одному ип-адресу из неё бОльшую либо меньшую скорость - то queue для этого ип нужно разместить над правилом для подсети. Если у вас fasttrack'аются соединения, они в очередь не попадут. Поэтому либо выделяйте нужные вам пакеты в фаерволе экшном accept, либо отключайте правило fasttrack.

    З.Ы. Вообще в winbox'е легко понять, важен порядок правил или нет. Везде, где в заголовке первой строки есть "#" - порядок важен.
    Ответ написан
  • Настройка Polycom и фаервола, где может быть ошибка?

    @moneron89
    Сертифицированный тренер Mikrotik
    В файерволе измените цепочку input на forward в правиле, открывающем 1720 порт (т.к. dst-nat отрабатывает в prerouting). В НАТе у вас два dstnat'a, один из них c comment=Polycom рулит ВЕСЬ тсп-трафик на 192.168.0.6:1720. Не уверен, что Вам это нужно, отключите его. Цепочку output использовать вообще нецелесообразно - это траффик, который генерируется самим роутером.
    Разбирайтесь с файерволлом. Чтобы понять его лучше, используйте этот материал. Да, сложно. Но проще один раз разобраться.
    Ответ написан