+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Заблокируй страницу модема, ожидай IP.

Заблокируй страницу модема, ожидай IP., RouterOS

namo

Guest

11.11.2009 06:10:00

Я хочу заблокировать страницу ADSL-модема, поэтому использую команду /ip firewall filter add chain=forward action=drop src-address-list=!192.168.1.254/32 dst-address=192.168.0.10/32. Но я все равно могу просматривать страницу модема с других IP-адресов.

Обратите внимание: IP-адрес LAN моего модема 192.168.0.10, подсеть 255.255.255.0. IP-адрес моего Mikrotik роутера WAN 192.168.0.70/24, LAN роутера Mikrotik 192.168.1.1/24.

namo Guest	#2 0 03.09.2010 05:56:00 Не получилось, но я хочу, чтобы IP-адрес 192.168.1.254 мог получить доступ к странице модема, но не к другим IP-адресам.

fewi Guest	#3 0 03.09.2010 11:59:00 Пожалуйста, выложи вывод команд "/ip firewall nat export" и "/ip address print".

namo

Guest

04.09.2010 00:27:00

add action=passthrough chain=unused-hs-chain comment="разместить правила для точки доступа" \
disabled=yes
add action=masquerade chain=srcnat comment="маскировать сеть точки доступа" disabled=\
no src-address=192.168.1.0/24
add action=masquerade chain=src-nat comment="" disabled=yes out-interface=outside1 Flags: X - disabled, I - invalid, D - dynamic
# ADDRESS NETWORK BROADCAST INTERFACE
0 192.168.1.1/24 192.168.1.0 192.168.2.255 hotspot
1 192.168.0.50/24 192.168.0.0 192.168.0.255 outside1
2 192.168.5.1/32 192.168.5.1 192.168.5.1 hotspot Я вижу, что в точке доступа ошибка в широковещании, но интернет работает, и когда я меняю его на 192.168.1.255, интернет перестает работать. Третья строка — ложный шлюз, чтобы предотвратить NetCut edit: Я изменил широковещание на 192.168.1.255, затем перезагрузил, и интернет заработал. Все еще проблема с блокировкой модема?

fewi Guest	#5 0 04.09.2010 01:21:00 /ip firewall filter добавить цепочку=forward действие=drop src-address=!192.168.1.254 dst-address=192.168.0.10

namo Guest	#6 0 04.09.2010 01:37:00 Чем отличается это: /ip firewall filter add chain=forward action=drop src-address-list=!192.168.1.254/32 dst-address=192.168.0.10/32

fewi Guest	#7 0 04.09.2010 01:38:00 Прочитай это. src-address-list против src-address. Ты ссылался на несуществующий список адресов. И ещё, маски /32 не нужны.

namo Guest	#8 0 04.09.2010 01:48:00 Страница модема всё ещё работает со всеми IP-адресами.

fewi Guest	#9 0 04.09.2010 01:51:00 Выложи результат работы команды "/ip firewall filter export"

namo

Guest

#10

04.09.2010 02:41:00

add action=drop chain=forward comment="" disabled=no dst-address=\
192.168.0.10 src-address=!192.168.1.254
add action=drop chain=input comment="" disabled=no dst-port=\
21,22,23,80,443,8291,8728 protocol=tcp src-address=!192.168.1.254
add action=passthrough chain=unused-hs-chain comment=\
"place hotspot rules here" disabled=yes
add action=reject chain=forward comment="Reject if in the 24-hour-list" \
disabled=yes reject-with=icmp-network-unreachable src-address-list=\
24-hour-list
add action=jump chain=forward comment="Check if dest is an open customer" \
disabled=no dst-address-list=open-customers jump-target=open-customers
add action=jump chain=forward comment="Check Known Bad Hosts" disabled=no \
jump-target=bad-hosts
add action=reject chain=forward comment="Reject if in the 24-hour-list" \
disabled=no reject-with=icmp-network-unreachable src-address-list=\
24-hour-list
add action=return chain=bad-host-detection comment="Take no action on bogons" \
disabled=no src-address-list=bogons
add action=add-src-to-address-list address-list=30-seond-list \
address-list-timeout=30s chain=bad-host-detection comment=\
"Add to the 30 second list" disabled=no dst-address=192.168.1.0/24 \
dst-port=137 protocol=udp src-address=192.168.1.0/24 src-port=137
add action=return chain=bad-host-detection comment="" disabled=no
add action=jump chain=forward comment="jump to the bad-host-detection chain" \
disabled=no jump-target=bad-host-detection src-address-list=!our-networks
add action=jump chain=forward comment="jump to the bad-host-detection chain" \
disabled=no jump-target=bad-host-detection src-address-list=!our-networks
add action=log chain=forward comment="log and reject the rest" disabled=yes \
log-prefix=""
add action=reject chain=forward comment="" disabled=yes reject-with=\
icmp-network-unreachable
add action=accept chain=forward comment="" disabled=yes dst-port=1863 \
protocol=tcp
add action=accept chain=forward comment="" disabled=yes dst-port=443 \
protocol=tcp
add action=drop chain=output comment="" disabled=no protocol=udp src-port=\
5678
add action=add-src-to-address-list address-list=src-conficker \
address-list-timeout=3d chain=forward comment=\
"ADD to address-list src-conficker" disabled=no dst-address-list=\
conficker

fewi

Guest

#11

04.09.2010 02:55:00

С такой вот штукой в начале цепочки я не вижу, как хоть какой клиент сможет получить доступ к 192.168.0.10. Вы же маршрутизируете трафик через внешний интерфейс на 192.168.0.50, так что даже 192.168.1.254 не должно дойти до модема. Не знаю, что я упускаю из виду, но с неохотой сдаюсь.

namo

Guest

#12

04.09.2010 05:30:00

Спасибо, fewi, в любом случае. Там одна вещь в Flags я не понял: X - disabled, I - invalid, D - dynamic.

# ADDRESS NETWORK BROADCAST INTERFACE
0 192.168.1.1/24 192.168.1.0 192.168.2.255 hotspot
1 192.168.0.50/24 192.168.0.0 192.168.0.255 outside1
2 192.168.5.1/32 192.168.5.1 192.168.5.1 hotspot Как так вышло, что IP для широковещания в hotspot был 192.168.2.255, и все работало нормально? Лучше стало, теперь, когда я изменил его на 192.168.1.255? Я менял его раньше для какой-то цели, которую забыл?!

SurferTim Guest	#13 0 04.09.2010 12:13:00 Ты сначала ввел ip/netmask 192.168.2.1/24, а потом отредактировал его или внес какие-то другие изменения в эту запись? Если ты отредактировал ip/netmask, то адрес широковещания не изменится.

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры