Вопрос по Firewall и правилам

Тема в разделе "Вопросы начинающих", создана пользователем m3lnikov, 2 май 2017.

  1. m3lnikov

    m3lnikov Новый участник

    Доброго времени суток.
    Вопрос такой , есть определенные правила в таблице, вроде все логичные и все отрабатывают.
    Задача была поднять PPTP сервер, и там нужно добавить 2 записи, на порт 1723 и GRE , добавляем... не идет соединение, если вырубить цепочку input drop на все соединения,: то все хорошо

    /ip firewall filter
    add action=accept chain=input connection-state=established,related
    add action=accept chain=forward connection-state=established,related
    add action=drop chain=input connection-state=invalid
    add action=drop chain=forward connection-state=invalid
    add action=accept chain=input comment=winbox dst-port=8291 in-interface=ether1 protocol
    add action=drop chain=input in-interface=ether1
    add action=accept chain=input comment="Accept PPTP tunel" dst-port=1723 protocol=tcp
    add action=accept chain=input protocol=gre


    Где косяк ? надо чтоб и по порту 1723 работало и правило Input drop
     
  2. Vaippp

    Vaippp Участник

    Эти правила должны быть выше запрещающих.
     
    Mama нравится это.
  3. m3lnikov

    m3lnikov Новый участник

    то есть очередность правил, так же влияет ?
     
  4. Vaippp

    Vaippp Участник

    да
     
    Mama нравится это.
  5. m3lnikov

    m3lnikov Новый участник

    Поднял и заработало сразу ...
    понял , спасибо.
     
  6. Mook_34

    Mook_34 Участник

    Добрый день.
    Не подскажите что может быть?
    Сделал правило блокировку сайтов
    ip firewall layer7-protocol add name=social regexp="^.+(vk.com|vkontakte|odnoklassniki|odnoklasniki|facebook|youtube|loveplanet).*\$"
    ip firewall filter add action=drop chain=forward comment="Block_social" layer7-protocol=social src-address-list=Block_social
    и когда включаю это правило то локальная сеть начинает тормозить а когда выключаю то все отлично.
    Где я на косячил не скажете?
     
  7. Скорей всего у вас не справляется процессор, посмотрите не загрузку. Вы проверяете фильтром L7 каждый пакет, а это очень труднозатратно для процессора. Посмотрите вот здесь: https://spw.ru/forum/threads/kak-sozdat-belyj-spisok-sajtov.256/ - тут корректно описан способ применения фильтра L7 не к каждому пакету, а только к новым соединениям.
     
  8. Илья Князев

    Илья Князев Администратор Команда форума

    Добавлю, что такое проще блокировать через DNS и regexp, принудительно завернув все запросы DNS на роутер.
     
  9. Mook_34

    Mook_34 Участник

    Не смогу т.к. DNS у меня выдает сервер.
    Спасибо,все получилось.
    И отдельный поклон Илье Князеву.
     
    Последнее редактирование: 2 июн 2017