popuas'a сдвинуть вниз с 0 на 5 (после твоих правил) и в 0 поставлю chain=input protocol=tcp dst-port=8291 action=accept ?
/ip firewall filter add chain=input dst-port=8291 protocol=tcp add chain=input protocol=icmp add chain=input connection-state=established,related add action=drop chain=input in-interface=ether1-gateway add action=drop chain=forward connection-state=invalid add action=drop chain=input dst-port=53 in-interface=ether1-gateway log=yes \ log-prefix=query_in_drop protocol=udp
Код: /ip firewall filter add chain=input connection-state=established,related add chain=input protocol=icmp add chain=input dst-port=8291 protocol=tcp add action=drop chain=input in-interface=ether1-gateway add action=drop chain=forward connection-state=invalid Вот так более оптимально.
Столкнулся с такой же проблемой. Микротик оказался для меня вообще новым и любопытным миром. В логах обнаружил кучу запросов к cpsc.gov Гугление помогло понять, что я стал жертвой DNS-флуда. Илья, могли бы Вы посмотреть мои правила и сказать, правильно ли они составлены, т.к. я еще только делаю первые шаги в настройках firewall и свои правила собирал по крупицам из сети. P.S. в сеть выхожу через Huawei 3372 HiLink (надо ли на нем какие-то правила прописать? у него есть веб-интерфейс и файрвол)
Я выше привел набор правил. Уберите доступ снаружи по WinBox и поменяйте интерфейс на ваш WAN-интерфейс (lte1)
Настройка фильтрации трафика на Mikrotik. Часть 1 Настройка фильтрации трафика на Mikrotik. Часть 2 Настройка фильтрации трафика на Mikrotik. Часть 3 Настройка фильтрации трафика на Mikrotik. Часть 4
Спасибо, прочитал. Более менее стал понимать. Илья, а что Вы скажете об этом конфиге http://wiki.mikrotik.com/wiki/Dmitry_on_firewalling Будет ли он более эффективным и стоит ли дропать BOGON-сети?
Мне кажется, использовать конфиг 10-летней давности не лучшая идея. Когда вы последний раз видели emule? На счет дропа BOGON, это исключительно ваш выбор.
Hi, Илья, столкнулся с такой неприятностью - появилось "нечто" в моей сетке 192.168.88.1/24 с DHCP сервером, скорее, и начинает раздавать после перезагрузки моим сетевым принтерам, коммутаторам и компам адреса свои - 192.168.0.1/24 и шлюз уже не мой, а 192.168.0.1 и пипец - нет людей в сетке и инета у них тоже нет. Что делать и где рыть? Обошел все кабинеты и повыключал все точки доступа и роутеры у арендаторов, просканировал Advanced IP SCANNER'ом сетку с адресами 192.168.0.1 - 192.168.0.254 и опять - Включен KEENETIC 192.168.0.1 D-Link Corporation 00:13:46:53:21:FB ... Как его нейтрализовать?
Илья, а может этот KEENETIC 192.168.0.1 в мою 192.168.88.1/24 через WAN порт микротика проникать со своими "услугами"?
