http://mikrotik.moscow Новое в теме Правила файрвола с ограничением по времени остаются неактивными форума RouterOS на сайте Mikrotik.moscow [mikrotik.moscow] ru http://backend.userland.com/rss2 Fri, 29 May 2026 20:11:39 +0300 Правила файрвола с ограничением по времени остаются неактивными RouterOS в форуме RouterOS.
К моему удивлению, эта ошибка всё ещё была в версии 6.37.5, но после обновления до 6.38.7 всё наконец-то работает как надо. Странно, что такая ошибка оставалась нерешённой так долго. В любом случае, спасибо, MT!
29.06.2017 06:23:00, Bomber67.]]> http://mikrotik.moscow/forum/forum57/87100-pravila-fayrvola-s-ogranicheniem-po-vremeni-ostayutsya-neaktivnymi/message413473 http://mikrotik.moscow/forum/forum57/87100-pravila-fayrvola-s-ogranicheniem-po-vremeni-ostayutsya-neaktivnymi/message413473 Thu, 29 Jun 2017 06:23:00 +0300 RouterOS Правила файрвола с ограничением по времени остаются неактивными RouterOS в форуме RouterOS.
К сожалению, эта ошибка до сих пор не исправлена... Сейчас у меня версия 6.34.6, и у одного из моих клиентов есть несколько правил, завязанных на время. Когда наступает временной диапазон, в который одно из правил должно блокировать, правило остаётся красным вместо того, чтобы сработать. Есть шанс, что это скоро поправят?
17.11.2016 06:30:00, Bomber67.]]> http://mikrotik.moscow/forum/forum57/87100-pravila-fayrvola-s-ogranicheniem-po-vremeni-ostayutsya-neaktivnymi/message413472 http://mikrotik.moscow/forum/forum57/87100-pravila-fayrvola-s-ogranicheniem-po-vremeni-ostayutsya-neaktivnymi/message413472 Thu, 17 Nov 2016 06:30:00 +0300 RouterOS Правила файрвола с ограничением по времени остаются неактивными RouterOS в форуме RouterOS.
Интересно. Ты пробовал проверить, работает ли это правильно или вообще ничего не делает? Как ты отслеживаешь активность? Я только что попробовал правило на основе TOD на одном из своих RB750, и оно сработало идеально. Правило было следующим: chain=ICMP action=drop protocol=icmp time=12h29m-12h30m,tue log=no log-prefix=“” Оно было создано через WinBox, и я наблюдал за фильтрующими правилами по мере течения времени, тоже используя WinBox. Параллельно у меня шел постоянный пинг IP роутера в командной строке Windows. В WinBox правило отображалось красным с пометкой — inactive time. Когда начинался 1-минутный интервал, строка inactive time исчезала, и правило становилось черным. В окне пинга начинались ошибки, а WinBox показывал, как растет счетчик пакетов, попадающих под параметры правила. Спустя минуту правило снова становилось красным с пометкой — inactive time, и пинги снова отвечали. Потом я поменял время и отключил правило. Как и ожидалось, в WinBox правило стало отключенным (вызатым). Пинги работали нормально. Примерно через 20 секунд после начала временного интервала я включил правило через WinBox, и пинги начали пропадать. В конце временного интервала правило снова стало красным с пометкой — inactive time, и пинги снова пошли нормально. Все сработало именно так, как я и ожидал (раньше с правилами на основе TOD не сталкивался).
21.06.2016 19:47:00, k6ccc.]]> http://mikrotik.moscow/forum/forum57/87100-pravila-fayrvola-s-ogranicheniem-po-vremeni-ostayutsya-neaktivnymi/message413471 http://mikrotik.moscow/forum/forum57/87100-pravila-fayrvola-s-ogranicheniem-po-vremeni-ostayutsya-neaktivnymi/message413471 Tue, 21 Jun 2016 19:47:00 +0300 RouterOS Правила файрвола с ограничением по времени остаются неактивными RouterOS в форуме RouterOS.
Пытался экспортировать, удалять и добавлять через CLI — бесполезно. Похоже, правило должно срабатывать в нужное время, но не срабатывает, оно вступает в силу только после отключения/включения. В качестве обходного решения я добавил скрипт, который запускается каждые 5 минут. Он проходит по правилам, и для каждого включённого правила сначала отключает, а потом включает его снова. (Я хочу оставить отключённые правила без изменений). Это работает, хоть и немного грязный способ:

/ip firewall filter  
add action=drop chain=forward comment="Drop 0000-0800 all days" dst-address=!*.*.86.2 in-interface=ether1 log=yes log-prefix="DROP 0000-0800 ALL DAYS" src-address=!192.168.2.99 time=0s-8h,sun,mon,tue,wed,thu,fri,sat  
add action=drop chain=forward comment="Drop 2200-0000 mon-thu and sun" disabled=yes dst-address=!*.*.86.2 in-interface=ether1 log=yes log-prefix="DROP 2200-0000 MON-THU+SUN" src-address=!192.168.2.99 time=22h-23h59m59s,sun,mon,tue,wed,thu

/system scheduler  
add interval=5m name=schedule1 on-event=refreshtimerules policy=ftp,reboot,read,write,policy,test,password,sniff,sensitive start-date=jun/21/2016 start-time=07:30:00

/system script  
add name=refreshtimerules owner=admin policy=ftp,reboot,read,write,policy,test,password,sniff,sensitive source=":foreach rule in=[ /ip firewall filter find disabled=no ] do={
 :log info \"Отключаем и снова включаем правила файрвола с таймингом\"  
 /ip firewall filter disable \$rule  
 :delay 1  
 /ip firewall filter enable \$rule  
}"

Было бы ещё лучше, если бы это делалось только для правил, которые считаются «неактивными». Кто-нибудь знает, как написать такой скрипт? Если быть совсем уж придирчивым, идеальное решение — проверять, должно ли правило быть активным в данный момент, и сравнивать с текущим состоянием «активно/неактивно». Но для этого пришлось бы парсить параметр «time» и возиться с кучей мелочей, так что я не стал этим заморачиваться. В любом случае это должна была бы решать сама RouterOS…

Mikrotik/Normis: есть идеи, почему этот баг до сих пор не исправлен?
21.06.2016 05:46:00, Bomber67.]]> http://mikrotik.moscow/forum/forum57/87100-pravila-fayrvola-s-ogranicheniem-po-vremeni-ostayutsya-neaktivnymi/message413470 http://mikrotik.moscow/forum/forum57/87100-pravila-fayrvola-s-ogranicheniem-po-vremeni-ostayutsya-neaktivnymi/message413470 Tue, 21 Jun 2016 05:46:00 +0300 RouterOS Правила файрвола с ограничением по времени остаются неактивными RouterOS в форуме RouterOS.
Попробуй экспортировать это правило из CLI, удалить его, а потом вставить обратно через CLI. Странно, но, по моему мнению, иногда ROS «кэширует» внутреннюю информацию и неправильно активирует правила. Редактирование: попробуй отключить его через Winbox, подожди немного и включить снова — та же проблема... «кэш».
20.06.2016 11:40:00, BartoszP.]]> http://mikrotik.moscow/forum/forum57/87100-pravila-fayrvola-s-ogranicheniem-po-vremeni-ostayutsya-neaktivnymi/message413469 http://mikrotik.moscow/forum/forum57/87100-pravila-fayrvola-s-ogranicheniem-po-vremeni-ostayutsya-neaktivnymi/message413469 Mon, 20 Jun 2016 11:40:00 +0300 RouterOS Правила файрвола с ограничением по времени остаются неактивными RouterOS в форуме RouterOS.
Нет, отдельный Ethernet, без свитча, без моста.
20.06.2016 06:39:00, Bomber67.]]> http://mikrotik.moscow/forum/forum57/87100-pravila-fayrvola-s-ogranicheniem-po-vremeni-ostayutsya-neaktivnymi/message413468 http://mikrotik.moscow/forum/forum57/87100-pravila-fayrvola-s-ogranicheniem-po-vremeni-ostayutsya-neaktivnymi/message413468 Mon, 20 Jun 2016 06:39:00 +0300 RouterOS Правила файрвола с ограничением по времени остаются неактивными RouterOS в форуме RouterOS.
Является ли ether1 частью группы коммутаторов? Если да, то является ли ether1 главным портом?
20.06.2016 06:36:00, patrick7.]]> http://mikrotik.moscow/forum/forum57/87100-pravila-fayrvola-s-ogranicheniem-po-vremeni-ostayutsya-neaktivnymi/message413467 http://mikrotik.moscow/forum/forum57/87100-pravila-fayrvola-s-ogranicheniem-po-vremeni-ostayutsya-neaktivnymi/message413467 Mon, 20 Jun 2016 06:36:00 +0300 RouterOS Правила файрвола с ограничением по времени остаются неактивными RouterOS в форуме RouterOS.
У меня тут всё по-прежнему... Применил следующее для другого клиента: /ip firewall filter  
add action=drop chain=forward comment="Drop 0000-0800 all days" dst-address=!*. *.86.2 in-interface=ether1 log=yes log-prefix="DROP 0000-0800 ALL DAYS" src-address=!192.168.2.99 time=0s-8h,sun,mon,tue,wed,thu,fri,sat  
(Пара исключений по IP-адресам (первый тут замаскирован), чтобы админ мог заходить как из внутренней, так и из внешней сети даже в активное время).  

Это правило должно применяться в полночь, но вчера ночью я сидел и наблюдал, как время сменилось с 23:59:59 на 00:00:00, а оно всё так же красное (неактивное).  
Любое изменение правила (даже просто нажатие «применить» без изменений) или его выключение/включение активирует правило.  

Так что же не так с этой функцией? Я даже на версии 6.34.6...
20.06.2016 05:57:00, Bomber67.]]> http://mikrotik.moscow/forum/forum57/87100-pravila-fayrvola-s-ogranicheniem-po-vremeni-ostayutsya-neaktivnymi/message413466 http://mikrotik.moscow/forum/forum57/87100-pravila-fayrvola-s-ogranicheniem-po-vremeni-ostayutsya-neaktivnymi/message413466 Mon, 20 Jun 2016 05:57:00 +0300 RouterOS Правила файрвола с ограничением по времени остаются неактивными RouterOS в форуме RouterOS.
Чтобы гарантировать, что какой-нибудь геймер-ребёнок всё-таки выспится, я настроил пару правил фаервола на основе времени:  
/ip firewall filter  
add action=drop chain=forward comment="Drop 0000-0730 all days" in-interface=ether2 log=yes log-prefix="DROP 0000-0800 ALL DAYS" time=0s-8h,sun,mon,tue,wed,thu,fri,sat  
# неактивное время  
add action=drop chain=forward comment="Drop 2200-0000 mon-thu and sun" in-interface=ether2 log=yes log-prefix="DROP 2200-0000 MON-THU+SUN" time=22h-23h59m59s,sun,mon,tue,wed,thu  

Проблема в том, что правила остаются выключенными, то есть красными, даже когда наступает указанное время. Пробовал ставить вручную часы и часовой пояс, давать времени дойти до 22:00, но правило не включается. Отключение и повторное включение нужного по времени правила включает его, то же самое происходит при редактировании параметров или комментария.  

Сначала стояла версия 6.32.3 с исправлениями, теперь обновился до актуальной 6.34.2 — результат тот же. Кто-нибудь сталкивался с этим?
08.03.2016 06:15:00, Bomber67.]]> http://mikrotik.moscow/forum/forum57/87100-pravila-fayrvola-s-ogranicheniem-po-vremeni-ostayutsya-neaktivnymi/message413465 http://mikrotik.moscow/forum/forum57/87100-pravila-fayrvola-s-ogranicheniem-po-vremeni-ostayutsya-neaktivnymi/message413465 Tue, 08 Mar 2016 06:15:00 +0300 RouterOS