Будьте внимательны к маленькой недосмотру, которую допускают многие. Начиная с версии 2.9 или той, в которой впервые появились графики, все ваши клиенты могут видеть ваши графики. И они могут видеть, сколько клиентов у вас в сети и сколько пропускной способности они используют. Зайдите через веб-браузер http://“IP-адрес вашего Mikrotik:номер порта”, например, (да, я знаю, это очевидно для некоторых, но не для всех. Там вы получите много информации о вашем Mikrotik. Нажмите на графики и… ой! Вот они. Чтобы остановить это, откройте Winbox, войдите в Mikrotik. Нажмите "Инструменты", "Графики", затем добавьте IP-адрес системы/систем, которым хотите разрешить просмотр графиков, в раздел «Все правила». Перед этим включите стандартную аутентификацию (объясню, почему в конце). Чтобы никто, кроме вашей внутренней сети (офиса), не мог просматривать эту страницу запуска, вам нужно добавить несколько правил брандмауэра (прикреплены ниже). Вы должны изменить диапазон IP-адресов на IP-адрес вашей внутренней сети в прикрепленных правилах (той, которая подключена к Mikrotik, иначе вы себя заблокируете). Лучший способ не заблокировать себя – открыть два экземпляра Winbox с одним и тем же Mikrotik. Используйте один для вставки нижеследующих правил в окно терминала. Оставьте второй открытым на правилах брандмауэра. Вставьте правила, нажмите Enter, закройте Winbox, затем попробуйте его снова открыть. Если он не открывается, используйте другой открытый Winbox с правилами брандмауэра, чтобы исправить ошибки. Всегда держите один открытым при создании правил брандмауэра. Если вы допустите непоправимое и закроете оба Winbox и заблокируете себя, стандартная аутентификация будет включена, чтобы вы могли получить доступ к Mikrotik с другого удаленного узла через сессию mac-telnet, где вы можете отключить правила брандмауэра, перейдя к /ip firewall input. Как только вы все настроите правильно и сможете вернуться в Winbox, перезагрузите Mikrotik, чтобы убедиться, что настройки применены. Мы работаем над списком для устранения избыточного трафика на Mikrotik, пока снизили использование ЦП до 6-10% от предыдущих 25-40%. Сделаем еще один пост после того, как протестируем новые правила брандмауэра не менее недели на активной сети, чтобы не потерять никого в *&^%$. Мы многому научились, читая документацию и методом проб и ошибок (на запасном Mikrotik, конечно). Удачи, надеюсь, это помогло.
/ip firewall rule input
add connection-state=invalid action=drop comment="Drop invalid connection packets"
add connection-state=established comment="Allow established connections"
add connection-state=related comment="Allow related connections"
add protocol=udp comment="Allow UDP connections"
add protocol=icmp comment="Allow ICMP messages"
add src-addr=192.168.10.0/24 comment="Allow access from 'trusted' network 192.168.10.0/24"
add action=drop log=yes
/ip firewall rule input
add connection-state=invalid action=drop comment="Drop invalid connection packets"
add connection-state=established comment="Allow established connections"
add connection-state=related comment="Allow related connections"
add protocol=udp comment="Allow UDP connections"
add protocol=icmp comment="Allow ICMP messages"
add src-addr=192.168.10.0/24 comment="Allow access from 'trusted' network 192.168.10.0/24"
add action=drop log=yes
