Как заблокировать IP-адрес в MT

Используйте список IP-адресов. Создайте список, например, ‘blacklist’, и добавьте столько IP-адресов и CIDR-блоков, сколько нужно для блокировки. Например, /ip firewall address-list add list=blacklist address=1.1.1.1 add list=blacklist address=2.2.2.2 add list=blacklist address=3.3.0.0/16 ... После этого вы можете использовать этот список в любом правиле в любой цепочке любой таблицы файрвола. Это особенно полезно, потому что без списка адресов, если у вас есть nat-правила, правила фильтрации и masquerade-правила, все касающиеся одних и тех же адресов, вам придется обновлять все цепочки при добавлении или удалении адресов из набора. Если все цепочки ссылаются на один и тот же список адресов, изменение этого списка немедленно влияет на все правила, которые ссылаются на него. Вы сопоставляете список адресов в своих правилах, используя критерии: src-address-list=blacklist или dst-address-list=blacklist. В Winbox / Webfig сопоставители списка адресов находятся на вкладке ‘advanced’. Например, чтобы выполнить то, что изначально попросил автор, вы добавляете проблемный IP-адрес в черный список и создаете правило в цепочке input: /ip firewall filter add chain=input src-address-list=blacklist action=drop. Я редко использую цепочку output в Mikrotik, но этом месте я это сделаю: /ip firewall filter add chain=output dst-address-list=blacklist action=drop. Однако этот ‘режим’ файрвола не самый лучший для надежной фильтрации. Он позволяет все, кроме конкретных исключений (заблокированные хосты), которые вам нужно обнаруживать и реагировать на них вручную. (Вы можете создать правила файрвола, которые автоматически обнаруживают сканирование портов и попытки взлома по telnet / ssh и добавляют источники в черные списки, но это выходит за рамки данной публикации). Лучше настроить ваш Mikrotik так, чтобы он блокировал весь входящий трафик на интерфейсе WAN, который не запрашивался (например, ответы на ping, dns, http и т.д.). Предположим, что ether1 — это WAN интерфейс: /ip firewall filter add chain=input in-interface=ether1 connection-state=!established,related action=drop. Одно правило блокирует Интернет от возможности инициировать любое взаимодействие с вашим Mikrotik. Черный список не требуется.

Привет, ребята, у меня проблема, и, возможно, вы можете мне помочь: у меня есть роутер MK, который выполняет функции сервера PPPoE. Он выдает IP-адреса NAT 10.76.14.0/24. Этот же роутер получает через OSPF 10.77.0.0/29. Я создал правило файрвола, чтобы блокировать трафик с 10.76.14.0 на 10.76.14.0, но оно, похоже, не работает: первое правило ACL добавляет action=drop chain=forward dst-address=10.77.0.0/26 src-address=10.76.14.0/24. Я пробовал разные варианты (chain=input) и пытался указать входящий интерфейс, но я все еще могу пинговать 10.77.0.1 (например). Единственный способ заблокировать трафик — это правило add action=drop chain=input disabled=yes dst-address=10.77.0.2 protocol=icmp src-address=10.76.14.13. Есть какие-то предложения, почему моё первое правило не срабатывает? Спасибо.

Если задействован NAT, то ваши фильтрующие правила должны использовать реальные IP-адреса двух рассматриваемых хостов, поскольку фильтрация по пересылке происходит после DSTnat (поэтому «внутренний» IP будет являться конечным, а не исходным IP) но до SRCnat, поэтому следует использовать исходный IP.

У него установлен флаг "D", что означает динамический. Перейдите в IP->DHCP Client, и я уверен, что вы найдете клиент на интерфейсе ether1_Wan_KC… именно оттуда это и происходит.

Спасибо, сэр.

Это абсолютно другое. Это требует скрипта, чтобы сделать то, что ты хочешь, и вполне вероятно, что провайдер просто назначит любой IP, который им нравится. Тебе стоит пожаловаться провайдеру на проблему с задержкой в одном диапазоне (у них может быть разная пол политика BGP для каждой подсети). В любом случае, если ты хочешь попробовать, тебе нужно начать новую тему на форуме по скриптам. Прежде чем это сделать, тебе нужно вручную попытаться получить новые адреса, чтобы понять, возможно ли это вообще. Если да, то тогда напиши за помощью по скриптам.

Ребята, пожалуйста, помогите. Может ли маршрутизатор Mikrotik автоматически добавлять IP-адрес 192.168.1.1 в список адресов, из-за чего у меня отключается интернет? Заранее спасибо.

Размещение вашей проблемы в старой теме обычно плохая идея. Размещение вашей проблемы в совершенно несвязанной теме — это всегда очень плохая идея. RouterOS не просто так создает IP-адрес. Но вы можете получить один через DHCP, если у вас есть клиент на интерфейсе.