+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Запросы на функции: списки портов и несколько списков адресов в правиле фильтрации

Запросы на функции: списки портов и несколько списков адресов в правиле фильтрации, RouterOS

IntrusDave

Guest

23.12.2015 09:20:00

Списки портов: это действительно упростило бы управление многими моими правилами, работая точно так же, как списки адресов. Несколько списков адресов: опять же, это упростило бы задачу. У меня есть несколько десятков правил, которые повторяются, только с разными списками адресов. Возможность добавлять дополнительные списки адресов к одному правилу значительно бы это упростила. Заранее спасибо.

jarda Guest	#2 0 11.01.2016 13:29:00 Мне нравится, как сейчас устроены правила без объектов. Просто хотелось бы иметь возможность создавать более сложные правила, но меньше по количеству, надеясь, что обработка будет проходить быстрее.

poisons Guest	#3 0 11.01.2016 11:01:00 Да, очень интересная вещь. Хочу что-то вроде модели объектов Cisco ASA для правил файрвола, что-то, что позволяет задавать объекты сервисов, группы объектов, группы для TCP/UDP портов и так далее.

ZeroByte

Guest

11.01.2016 14:32:00

Поддерживает ли netfilter эти функции? Если нет, то вряд ли мы скоро увидим их в ROS... На самом деле, можно довольно близко приблизиться к таким сценариям, грамотно выстроив логику своих цепочек. Например, если нужно применить набор портов к любому количеству объектов, создайте цепочку, которая проверяет нужные порты, а затем всё, что требует этот набор портов, просто "прыгает" в эту цепочку. Это, конечно, не так эффективно с точки зрения процессов, но если логика срабатывает только на новых соединениях, то дополнительная «нагрузка» от такого подхода сильно не повлияет на роутер. Зато вы получите и читаемость, и простоту управления, которую хотите.

jarda Guest	#5 0 11.01.2016 16:16:00 Конечно, цепочки — это то, что я использую сейчас. Но всё же я вижу возможность сократить количество этапов обработки в файрволе. Хотя для меня это не критично.

boen_robot

Guest

11.01.2016 16:26:00

Насколько я знаю, можно указать список портов, просто разделяя номера портов запятой, так что список портов вроде как уже поддерживается. Но только «вроде», поскольку набор не имеет имени и им нельзя управлять отдельно. Нужно править правило с этим «списком» портов напрямую, а не добавлять элемент через отдельное меню, и тогда все правила фаервола, которые ссылаются на него, сразу начнут работать с новым элементом. Так что да, отдельное меню «port-list» было бы здорово. Оно позволило бы реализовать «мгновенный» сценарий, когда у тебя есть не просто правило фаервола, NAT или mangle, а два из них или все три… И можно было бы менять их поведение одновременно. (цепочки уже неплохо работают, если у тебя только filter, только nat или только mangle правила, использующие один и тот же набор портов) И да, поддержка нескольких списков адресов в правилах фаервола — тоже классная идея. Это не должно быть сложно реализовать как объединение всех адресов из списков.

ZeroByte

Guest

11.01.2016 16:53:00

Если вам нужно, чтобы IP был в list_X, list_Y или list_Z → действие, то можно сделать цепочку для этих трёх списков. Все остальные критерии, например номер порта, nth, время суток и т.д., ставятся в проверку прыжка, и если все остальные условия истинны → переход к цепочке multi_list_check:

multi 1) list_X → действие
multi 2) list_Y → действие
multi 3) list_Z → действие
multi 4) return

Думаю, это будет лишь номинально медленнее, чем одно правило, проверяющее все три списка, потому что под капотом одно правило всё равно проверяло бы каждый список по отдельности. Если нужно поведение «И», достаточно просто инвертировать логику, чтобы получить желаемый результат:

multi 1) !list_X → return
multi 2) !list_Y → return
multi 3) !list_Z → return
multi 4) действие

Ещё один плюс отдельной цепочки в том, что её можно вызвать из любой другой цепочки в той же таблице. Это не так удобно переносится, как address-lists, но достаточно гибко. Наверное, если бы была возможность указывать несколько списков IP сразу, я бы ожидал поведение «ИЛИ», чтобы соответствовать другим подобным полям (например, dst-port=xxxx,yyyy,zzzz — это как раз поведение «ИЛИ»).

fmarais007 Guest	#8 0 15.07.2019 20:18:00 Знаю, что это старая тема, но просто хотел сказать, что это очень помогло. Спасибо!

IntLDaniel

Guest

16.08.2019 18:50:00

@fmarais007, не мог бы ты показать пример кода, как использовать «несколько списков IP» в правиле фаервола с помощью кастомной цепочки? Сейчас я не очень хорошо разбираюсь в Mikrotik... спасибо. В моём примере у меня несколько списков IP, и я хотел бы сделать одно правило srcnat для нескольких списков IP, вместо того чтобы повторять по 5 правил srcnat для каждого списка IP.

fmarais007

Guest

#10

27.08.2019 10:31:00

Привет! Ниже приведён код, который я использую в фаерволе, но суть останется той же.
add action=jump chain=input jump-target=unknown-input src-address-list=!addresslist1
add action=jump chain=input jump-target=unknown-input src-address-list=!addresslist2
add action=return chain=input

Этот код разработан, чтобы исключить определённые списки адресов из цепочки «unknown-input». Таким образом, где бы я ни использовал цепочку unknown-input для правила, IP из этих списков адресов не будут фильтроваться. И наоборот — если убрать «!», то в кастомную цепочку srcnat, которую вы создадите, попадут только эти списки адресов. Надеюсь, это поможет.

IntLDaniel Guest	#11 0 03.09.2019 08:46:00 Спасибо, @fmarais007!

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры