Все сделал как написано . НО !!! в запрет попадают а пинги идут все равно =( Я хочу что бы vlan 200 не видел vlan300 а vlan 300 видел его.
# may/22/2015 08:14:31 by RouterOS 6.28 # software id = JYWZ-11XF # /ip firewall filter add action=add-src-to-address-list address-list="port scanners" \ address-list-timeout=2w chain=input comment="Port scanners to list " \ protocol=tcp psd=21,3s,3,1 add action=add-src-to-address-list address-list="port scanners" \ address-list-timeout=2w chain=input comment="NMAP FIN Stealth scan" \ protocol=tcp tcp-flags=fin,!syn,!rst,!psh,!ack,!urg add action=add-src-to-address-list address-list="port scanners" \ address-list-timeout=2w chain=input comment="SYN/FIN scan" log=yes \ protocol=tcp tcp-flags=fin,syn add action=add-src-to-address-list address-list="port scanners" \ address-list-timeout=2w chain=input comment="SYN/RST scan" log=yes \ protocol=tcp tcp-flags=syn,rst add action=add-src-to-address-list address-list="port scanners" \ address-list-timeout=2w chain=input comment="FIN/PSH/URG scan" log=yes \ protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack add action=add-src-to-address-list address-list="port scanners" \ address-list-timeout=2w chain=input comment="ALL/ALL scan" log=yes \ protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg add action=add-src-to-address-list address-list="port scanners" \ address-list-timeout=2w chain=input comment="NMAP NULL scan" log=yes \ protocol=tcp tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg add action=drop chain=input comment="dropping port scanners" log=yes \ src-address-list="port scanners" add chain=forward comment="Ping is closed" connection-state=\ established,related protocol=icmp add action=drop chain=forward connection-state=new in-interface=diz \ out-interface=!wan protocol=icmp add chain=input comment="Accept related connections" connection-state=related add chain=forward connection-state=related add chain=input comment="Allow Ping" connection-state=established,related \ disabled=yes protocol=icmp add chain=forward disabled=yes protocol=icmp add chain=input comment="Access to Mikrotik only from our local network" \ src-address=172.16.2.0/24 add chain=forward comment="Access to Internet from local network" \ in-interface=all-vlan add chain=input comment="Allow UDP" disabled=yes protocol=udp add chain=forward disabled=yes protocol=udp add chain=input comment="Accept established connections" connection-state=\ established add chain=forward connection-state=established add action=drop chain=input comment="Drop invalid connections" \ connection-state=invalid log=yes add action=drop chain=forward connection-state=invalid log=yes add action=drop chain=input comment="All other drop" log=yes add action=drop chain=forward log=yes /ip firewall nat add action=masquerade chain=srcnat out-interface=wan src-address=\ 172.16.1.0/24 add action=masquerade chain=srcnat out-interface=wan src-address=\ 192.168.20.0/24 add action=masquerade chain=srcnat out-interface=wan src-address=\ 172.16.2.0/24 add action=masquerade chain=srcnat out-interface=wan src-address=\ 172.16.3.0/24 Хотелось бы закрыть 192.168.20.0.24 от 172.16.2.0/24,172.16.1.0/24 но что бы две эти сети его видели . Т.е. пинг не шли с 192.168.20.0/24 на 172.16.2.0/24 и 172.16.1.0/24 Спасибо ИЛЬЯ за помощь
Ну тогда работаем с chain=forward 1. connection-state=established,related action=accept 2. srs-address 192.168.20.0/24 dst-address=172.16.2.0/24 action=drop 3. src-address 192.168.20.0/24 dst-address=172.16.1.0/24 action=drop Имейте ввиду, что если вы пингуете адрес маршрутизатора, то это цепочка input.
Добрый день. Нет ,все равно пинги идут как я только не пробывал . Может у меня натройка не правельна? Работает только через Route List но там почему то все боликурет т.е. я укзываю адрес srs-address=192.168.20.0/24 dst-address=172.16.2.0/24 action=unreachablre но тут с одной стороны пишет что сеть не доступна а с другой пишет что привышен интервал ожидание для запроса.Хотя я думаю что должна одна из сетей пиноваться.
Принципиальный момент: Вы пингуете с адреса микротика или на адрес микротика ? Или вы запускаете пинг между 2-мя хостами в этих подсетях ?
Такс... Трайсроут что показывает ? Прокси-арп не включен случайно нигде ? Счетчики на правилах меняются ? Ощущение, что трафик мимо проходит. Или вообще мимо маршрутизатора, или выше есть разрешающие правила.
как проверить? нет да Да есть. Такое впечатление что скорость маленькая . При копирование на сервер не 1гб а значительно меньше .Все правило я выложил , больше не добавлял.
Это отпралено с 172.16.2.2 C:\admin>tracert -d 192.168.20.245 Трассировка маршрута к 192.168.20.245 с максимальным числом прыжков 30 1 <1 мс <1 мс <1 мс 172.16.2.1 2 <1 мс <1 мс <1 мс 192.168.20.245
Очень странно. Я бы сказал, так не бывает. Стукнитесь в личку, если дадите удаленное управление, гляну что у вас там. Даже интересно стало.
Здравствуйте, ну дак как решили? У меня такая же ситуация, хочу 2 подсети отделить, что бы друг друга они не видели, а интернет обоим приходил по 1 каналу. 2 подсети подключены на разных интерфейсах
Сделал разные подсети, 2 dhcp, всё работает, но в фаерволе когда выставил drop на forward между двумя интерфейсами , то микротик мне ответил типа нельзя, так как один их них мастер а второй слейв.
