Не работает фильтрация сайтов Mikrotik rb750gl

@Igor1906 · Регистрация: 17.08.2017

Author24 — интернет-сервис помощи студентам

Всем добрый день. У меня по каким-то причинам не работает фильтрация сайтов. Сразу говорю, что с оборудованием от данного производителя сталкиваюсь впервые, поэтому прошу простить моё незнание. Миктротик настраивал другой человек, но он пока занят и не может заняться выяснением причины. Сеть работает исправно, в инет выходит, шлюз выставлен именно на этот аппарат, но WhiteList почему-то не работает. Прошу помочь, заранее благодарен. Если нужны какие-либо настройки, кину скрин, или конфиг.

@romsan · 17.08.2017, 16:48

мою тему читали? У Вас так же реализовано?

@NoNaMe · 17.08.2017, 16:56

Давайте начнём с экспорта выложите:

Код

/ip fi fi ex fi=cyberforum.rsc

@romsan · 17.08.2017, 17:11

Не по теме:

Оказывается можно сокращения командам давать =-O

@Igor1906 · 17.08.2017, 17:35 **[ТС]**

Скрин из конфига, я так понимаю это та строчка

@Igor1906 · 17.08.2017, 17:38 **[ТС]**

На счет экспорта, вашим способом могу только завтра, так как уже не на работе. Я пользовался командой /export compact file=config. Не знаю то или нет, и вышел такой конфигурационный файл.

@romsan · 17.08.2017, 17:43

Сообщение от NoNaMe

/ip fi fi ex fi=cyberforum.rsc

/ip - раздел ip
fi - firewall
fi - filters
ex - export
fi - file
ну а дальше понятно. В разделе Files у Вас появится файл cyberforum.rsc. Вот его запакуйте rar-ом например и выложите сюда.

@Igor1906 · 17.08.2017, 17:44 **[ТС]**

Сорри, не заметил, что нельзя файл в таком формате прикреплять, только так

@Igor1906 · 17.08.2017, 17:51 **[ТС]**

Сообщение от romsan

/ip - раздел ip
fi - firewall
fi - filters
ex - export
fi - file
ну а дальше понятно. В разделе Files у Вас появится файл cyberforum.rsc. Вот его запакуйте rar-ом например и выложите сюда.

Хорошо, завтра утром постараюсь скинуть.

@NoNaMe · 17.08.2017, 23:42

Конкретно то что Я вижу в ваших конвигах, это вода.
Добавить:

Код

/ip firewall filter
add action=drop chain=input comment="Drop Invalid connections" connection-state=invalid
add action=drop chain=forward comment="Drop Invalid connections" connection-state=invalid
add action=accept chain=forward dst-address-list=white
/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1-gateway
/ip firewall mangle
add action=fasttrack-connection chain=prerouting connection-state=established,related

Вам нужно с нуля настраивать правила:

В начале разрешающие правила input за ними

Код

/ip fi fi add ch=input reject-with=icmp-admin-prohibited

В начале разрешающие правила forward за ними

Код

/ip fi fi add ch=forward reject-with=icmp-admin-prohibited

В начале разрешающие правила output за ними

Код

/ip fi fi add ch=output reject-with=icmp-admin-prohibited

Про layer7 немного в шоке, представье себе что это обработка каждого пакета. Это работает очень медленно!

Стратегия немного странная, "разрешать только определённые сайты".

Не по теме:

romsan, из ограничений сокращений:
ch - Chain (Можно)
fi - Filters (Можно)
ou - output (Нельзя, для параметров)

@Igor1906 · 18.08.2017, 08:21 **[ТС]**

/ip fi fi ex fi=cyberforum.rsc

Результат

@romsan · 18.08.2017, 08:56

хм... 3-е правило
add action=drop chain=input comment="default configuration" in-interface=ether1-gateway
Блокировать всё на входе? Может нужно здесь добавить connection-state=new ???
Или это правило как раз таки блокирует всё, кроме while-списка из Access list? Где тогда исключение?

Добавлено через 3 минуты
данное правило у Вас в самом низу, а должно быть в самом верху. Правда оно форвард. Т.е. самым первым правилом дропаем все new соединения из вне.

@Igor1906 · 18.08.2017, 09:37 **[ТС]**

Я так понял это правило распространяется только на первый порт, он не используется.

@NoNaMe · 18.08.2017, 10:25

Igor1906, рекомендую настроить фаервол с нуля, для этого вам нужно немного понять его устройство:
IP Firewall Filter. Среди текста есть сылка на Packet Flow.

Из моих наставлений: Правила работают сверху вниз, если вы всё разрешили, то правило ниже которое запрещяющее не отработает.

Если что-то конкретное нужно Drop или Reject, то данные правило очень хорошо подходят для вкладки RAW, тем самым ещё больше снижают нагрузку на оборудование.

В Mangle маркируются пакеты и соединения QoS\ToS\DSCP, всё что касается маркировки пакетов/соединений оно там. Так-же очень удобно откинуть оброботку всех соединений которые уже установлены и дружественные:

Код

/ip firewall mangle
add action=fasttrack-connection chain=prerouting connection-state=established,related

Потом вам необходимо во вкладке NAT разместить все пробросы Портов/Сетей/Маскарады/NAT/Harpin NAT.

И под конец идут правила filters. В них вы настраиваете строгие правила для конкретных подсетей. См. мой пост выше.

@romsan · 18.08.2017, 20:19

Сообщение от NoNaMe

Код
/ip firewall mangle
add action=fasttrack-connection chain=prerouting connection-state=established,related

а можно пояснить данное правило?
Про фастрак читал. При добавлении данного правила в мангле, еще и в raw добавилось правило - это что?
И, что, значит стандартное правило форварда и инпута на входе роутера эстаблишед и релатед видимо уже не нужно?

@NoNaMe · 19.08.2017, 15:05

Данное правило все дружествпнные и установленные соединения, откидывает от обработке вообще. Вот представь себе что-бы каждый пакет обрабатывался? Это медленно и не правильное использование ресурсов.
Это правильный ФастТрэк. Как печально что люди имеют оборудование, но не читают документацию.
Нет не нужно.

@romsan 5119 / 2178 / 465 Регистрация: 17.10.2015 Сообщений: 9,296
	18.08.2017, 08:56	12
	хм... 3-е правило add action=drop chain=input comment="default configuration" in-interface=ether1-gateway Блокировать всё на входе? Может нужно здесь добавить connection-state=new ??? Или это правило как раз таки блокирует всё, кроме while-списка из Access list? Где тогда исключение? Добавлено через 3 минуты данное правило у Вас в самом низу, а должно быть в самом верху. Правда оно форвард. Т.е. самым первым правилом дропаем все new соединения из вне. 0

@Igor1906 0 / 0 / 0 Регистрация: 17.08.2017 Сообщений: 10
	18.08.2017, 09:37 [ТС]	13
	Я так понял это правило распространяется только на первый порт, он не используется. 0

@NoNaMe vita et mortuus 1803 / 703 / 153 Регистрация: 10.06.2009 Сообщений: 2,784
	18.08.2017, 10:25	14
	Igor1906, рекомендую настроить фаервол с нуля, для этого вам нужно немного понять его устройство: IP Firewall Filter. Среди текста есть сылка на Packet Flow. Из моих наставлений: Правила работают сверху вниз, если вы всё разрешили, то правило ниже которое запрещяющее не отработает. Если что-то конкретное нужно Drop или Reject, то данные правило очень хорошо подходят для вкладки RAW, тем самым ещё больше снижают нагрузку на оборудование. В Mangle маркируются пакеты и соединения QoS\ToS\DSCP, всё что касается маркировки пакетов/соединений оно там. Так-же очень удобно откинуть оброботку всех соединений которые уже установлены и дружественные: Код /ip firewall mangle add action=fasttrack-connection chain=prerouting connection-state=established,related Потом вам необходимо во вкладке NAT разместить все пробросы Портов/Сетей/Маскарады/NAT/Harpin NAT. И под конец идут правила filters. В них вы настраиваете строгие правила для конкретных подсетей. См. мой пост выше. 1

Блоги программистов
Обновление сайта www.historian.by Reglage 05.01.2025 Обещал подвести итоги 2024 года для сайта. Однако начну с того, что изменилось за неделю. Добавил краткий урок по последовательности действий при анализе вредоносных файлов и значительно улучшил урок. . .	Как использовать GraphQL в C# с HotChocolate Programming 05.01.2025 GraphQL — это современный подход к разработке API, который позволяет клиентам запрашивать только те данные, которые им необходимы. Это делает взаимодействие с API более гибким и эффективным по. . .	Модель полного двоичного суматора с помощью логических операций (python) AlexSky-coder 04.01.2025 def binSum(x:list, y:list): s=^y] p=x and y for i in range(1,len(x)): s. append((x^y)^p) p=(x and y)or(p and (x or y)) return s x=list() y=list()	Это мы не проходили, это нам не задавали...(асихронный счётчик с управляющим сигналом задержки). Hrethgir 04.01.2025 Асинхронный счётчик на сумматорах (шестиразрядный по числу диодов на плате, но наверное разрядов будет больше - восемь или шестнадцать, а диоды на старшие), так как триггеры прошли тестирование и. . .	Руководство по созданию бота для Телеграм на Python IT_Exp 04.01.2025 Боты для Телеграм представляют собой автоматизированные программы, которые выполняют различные задачи, взаимодействуя с пользователями через интерфейс мессенджера. В данной статье мы рассмотрим,. . .	Применение компонентов PrimeVue в Vue.js 3 на TypeScript BasicMan 04.01.2025 Введение в PrimeVue и настройка окружения PrimeVue представляет собой мощную библиотеку компонентов пользовательского интерфейса для Vue. js 3, которая предоставляет разработчикам богатый набор. . .
Как стать Senior developer cpp_developer 04.01.2025 В современной индустрии разработки программного обеспечения позиция Senior Developer представляет собой не просто следующую ступень карьерной лестницы, а качественно новый уровень профессионального. . .	Что известно о дате выхода Windows 12 и чего от нее ждать IT_Exp 04.01.2025 В мире технологий постоянно происходят изменения, и операционные системы не являются исключением. Windows 11, выпущенная в октябре 2021 года, принесла множество инноваций и улучшений, но. . .	Что новенького в .NET Core 9 Programming 04.01.2025 Обзор ключевых изменений в . NET Core 9 Платформа . NET Core продолжает активно развиваться, и версия 9 представляет собой значительный шаг вперед в эволюции этой технологии. Новый релиз. . .	Инструкция по установке python3.13.1 в Debian 12 AlexSky-coder 03.01.2025 sudo apt update sudo apt install build-essential zlib1g-dev libncurses5-dev libgdbm-dev libnss3-dev libssl-dev libreadline-dev libffi-dev wget. . .	Затестил триггеры. архив проекта прилагаю с GOA файлами в настройках архиватора проектов. Hrethgir 03.01.2025 В этот раз нет закольцованности, потому что от неё только глюки, как я понял, логика не вырезанная. Триггеры очень быстрые если верить измерениям с помощью анализатора от Gowin. Есть ещё регистры,. . .	Python в помощь DevOps IT_Exp 03.01.2025 Причины использования Python в работе DevOps Python стал неотъемлемой частью мира DevOps, и это не случайно. Этот язык программирования обладает множеством преимуществ, которые делают его. . .

@romsan 5119 / 2178 / 465 Регистрация: 17.10.2015 Сообщений: 9,296
	17.08.2017, 16:48	2
	мою тему читали? У Вас так же реализовано? 0

@NoNaMe vita et mortuus 1803 / 703 / 153 Регистрация: 10.06.2009 Сообщений: 2,784
	17.08.2017, 16:56	3
	Давайте начнём с экспорта выложите: Код /ip fi fi ex fi=cyberforum.rsc 1

@romsan
	17.08.2017, 17:11 #4
	Не по теме: Оказывается можно сокращения командам давать =-O 0

@Igor1906 0 / 0 / 0 Регистрация: 17.08.2017 Сообщений: 10
	17.08.2017, 17:35 [ТС]	5
	Скрин из конфига, я так понимаю это та строчка Миниатюры 0

@Igor1906 0 / 0 / 0 Регистрация: 17.08.2017 Сообщений: 10
	17.08.2017, 17:38 [ТС]	6
	На счет экспорта, вашим способом могу только завтра, так как уже не на работе. Я пользовался командой /export compact file=config. Не знаю то или нет, и вышел такой конфигурационный файл. 0

@romsan 5119 / 2178 / 465 Регистрация: 17.10.2015 Сообщений: 9,296
	17.08.2017, 17:43	7
	Сообщение от NoNaMe /ip fi fi ex fi=cyberforum.rsc /ip - раздел ip fi - firewall fi - filters ex - export fi - file ну а дальше понятно. В разделе Files у Вас появится файл cyberforum.rsc. Вот его запакуйте rar-ом например и выложите сюда. 0

@Igor1906 0 / 0 / 0 Регистрация: 17.08.2017 Сообщений: 10
	17.08.2017, 17:51 [ТС]	9
	Сообщение от romsan /ip - раздел ip fi - firewall fi - filters ex - export fi - file ну а дальше понятно. В разделе Files у Вас появится файл cyberforum.rsc. Вот его запакуйте rar-ом например и выложите сюда. Хорошо, завтра утром постараюсь скинуть. 0

@NoNaMe vita et mortuus 1803 / 703 / 153 Регистрация: 10.06.2009 Сообщений: 2,784
	17.08.2017, 23:42	10
	Конкретно то что Я вижу в ваших конвигах, это вода. Добавить: Код /ip firewall filter add action=drop chain=input comment="Drop Invalid connections" connection-state=invalid add action=drop chain=forward comment="Drop Invalid connections" connection-state=invalid add action=accept chain=forward dst-address-list=white /ip firewall nat add action=masquerade chain=srcnat out-interface=ether1-gateway /ip firewall mangle add action=fasttrack-connection chain=prerouting connection-state=established,related Вам нужно с нуля настраивать правила: В начале разрешающие правила input за ними Код /ip fi fi add ch=input reject-with=icmp-admin-prohibited В начале разрешающие правила forward за ними Код /ip fi fi add ch=forward reject-with=icmp-admin-prohibited В начале разрешающие правила output за ними Код /ip fi fi add ch=output reject-with=icmp-admin-prohibited Про layer7 немного в шоке, представье себе что это обработка каждого пакета. Это работает очень медленно! Стратегия немного странная, "разрешать только определённые сайты". Не по теме: romsan, из ограничений сокращений: ch - Chain (Можно) fi - Filters (Можно) ou - output (Нельзя, для параметров) 1

@romsan 5119 / 2178 / 465 Регистрация: 17.10.2015 Сообщений: 9,296
	18.08.2017, 20:19	15
	Сообщение от NoNaMe Код /ip firewall mangle add action=fasttrack-connection chain=prerouting connection-state=established,related а можно пояснить данное правило? Про фастрак читал. При добавлении данного правила в мангле, еще и в raw добавилось правило - это что? И, что, значит стандартное правило форварда и инпута на входе роутера эстаблишед и релатед видимо уже не нужно? 0

@NoNaMe vita et mortuus 1803 / 703 / 153 Регистрация: 10.06.2009 Сообщений: 2,784
	19.08.2017, 15:05	16
	Данное правило все дружествпнные и установленные соединения, откидывает от обработке вообще. Вот представь себе что-бы каждый пакет обрабатывался? Это медленно и не правильное использование ресурсов. Это правильный ФастТрэк. Как печально что люди имеют оборудование, но не читают документацию. Нет не нужно. 1