|
0 / 0 / 0
Регистрация: 11.03.2019
Сообщений: 21
|
|
| 1 | |
firewall mikrotik найти команд как у cisco/huawei29.01.2020, 19:51. Показов 2717. Ответов 6
acl name LAN_TO_INT 3999 rule 10 deny ip source 10.129.4.0 0.0.0.255 destination 10.1.19.53 0 rule 20 deny ip source 10.129.4.0 0.0.0.255 destination 10.1.19.52 0 rule 30 deny ip source 10.129.4.0 0.0.0.255 destination 10.121.1.11 0 rule 35 deny ip source 10.129.4.0 0.0.0.255 destination 10.149.4.0 0.0.0.255 rule 40 permit ip source 10.129.4.0 0.0.0.255 вот эти команды на микротике Добавлено через 11 минут deny типо chain=forward action=reject reject-with=icmp-network-unreachable src-address=10.129.4.0/24 dst-address=10.1.19.53 log=no log-prefix=" а permit add chain=input src-address10.129.4.0 так выглядит?
0
|
|
( Лучшие ответы (1)
| 29.01.2020, 19:51 | |
|
Ответы с готовыми решениями:
6
Cisco NAT и Firewall
Cisco 2811 firewall config |
|
Модератор
 11429 / 6998 / 1903
Регистрация: 25.12.2012
Сообщений: 29,398
|
|
| 30.01.2020, 09:03 | 3 |
|
Нужно понимание: принадлежат ли адреса из вашего ACL самому mikrotik?
Расширенные ACL в cisco и huawei вешают на интерфейсы L3 портов и VLAN: соответственно на вход и выход с интерфейса. В mikrotik же трафик фильтруется в firewall filter по соответствующим цепочкам: input - трафик, предназначенный самому микротику, входящий на микротик трафик forward - транзитный трафик, проходящий через микротик трафик, не инициируемый им самим и не предназначенный ему. output - трафик, который инициирует сам микротик, исходящий с микротика трафик Может выложите полный конфиг с huawei (dis cur). Тогда можно будет перевести правила на firewall mikrotik'а
0
|
|
|
0 / 0 / 0
Регистрация: 11.03.2019
Сообщений: 21
|
|
| 30.01.2020, 09:17 [ТС] | 4 |
|
Код
sysname hua_proj_office
#
clock timezone AST add 06:00:00
#
ipv6
#
vlan batch 180 1505 1848
#
authentication-profile name default_authen_profile
authentication-profile name dot1x_authen_profile
authentication-profile name mac_authen_profile
authentication-profile name portal_authen_profile
authentication-profile name dot1xmac_authen_profile
authentication-profile name multi_authen_profile
#
dhcp enable
#
vlan 180
description corp
vlan 1505
description MNG
vlan 1848
description INTERNET
#
radius-server template default
#
pki realm default
#
ssl policy default_policy type server
pki-realm default
version tls1.0 tls1.1
ciphersuite rsa_aes_128_cbc_sha
#
acl name LAN_TO_INT 3999
rule 10 deny ip source 10.129.4.0 0.0.0.255 destination 10.1.19.53 0
rule 20 deny ip source 10.129.4.0 0.0.0.255 destination 10.1.19.52 0
rule 30 deny ip source 10.129.4.0 0.0.0.255 destination 10.121.1.11 0
rule 35 deny ip source 10.129.4.0 0.0.0.255 destination 10.149.4.0 0.0.0.255
rule 40 permit ip source 10.129.4.0 0.0.0.255
#
ike proposal default
encryption-algorithm aes-256
dh group14
authentication-algorithm sha2-256
authentication-method pre-share
integrity-algorithm hmac-sha2-256
prf hmac-sha2-256
#
free-rule-template name default_free_rule
#
portal-access-profile name portal_access_profile
#
dhcp server group LAN
#
ip pool 1
gateway-list 10.129.4.111
network 10.129.4.0 mask 255.255.255.0
excluded-ip-address 10.129.4.1 10.129.4.99
excluded-ip-address 10.129.4.151 10.129.4.254
lease day 2 hour 0 minute 0
dns-list 10.129.4.111
#
aaa
authentication-scheme default
authentication-scheme radius
authentication-mode radius
authorization-scheme default
accounting-scheme default
domain default
authentication-scheme default
domain default_admin
authentication-scheme default
undo local-user admin
local-user x password irreversible-cipher $1a$B7s}C|A1h>$IIiv7pr|{7I/PQEL82SD;B4F;h:",Oo6GY6tV>qH$
local-user x privilege level 15
local-user x service-type ssh
#
firewall zone Local
#
interface Vlanif180
ip address 10.129.4.111 255.255.255.0
dhcp select global
#
interface Vlanif1505
ip address x.x.x.x 255.255.255.128
#
interface Vlanif1848
ip address x.x.x.x 255.255.255.252
nat outbound 3999
#
ip route-static 0.0.0.0 0.0.0.0 public_ip
ip route-static 10.1.19.0 255.255.255.0 10.129.4.1
ip route-static 10.121.1.0 255.255.255.0 10.129.4.1
#
secelog
#
0
|
|
|
Модератор
11429 / 6998 / 1903
Регистрация: 25.12.2012
Сообщений: 29,398
|
|
| 30.01.2020, 12:46 | 5 |
 Сообщение было отмечено yalwaysme как решение
РешениеКод
/ip firewall address-list add address=10.1.19.53 list=BLACK_LIST add address=10.1.19.52 list=BLACK_LIST add address=10.121.1.11 list=BLACK_LIST add address=10.149.4.0/24 list=BLACK_LIST /ip firewall filter add action=drop chain=forward src-address=10.129.4.0/24 dst-address-list=BLACK_LIST /ip firewall nat add action=masquerade chain=srcnat src-address=10.129.4.0/24 out-interface=WAN для nat можно и другое правило: Код
/ip firewall nat add action=src-nat chain=srcnat src-address=10.129.4.0/24 out-interface=WAN to-addresses=x.x.x.x
0
|
|
Сообщение от insect_87
|
Модератор
11429 / 6998 / 1903
Регистрация: 25.12.2012
Сообщений: 29,398
|
|
| 30.01.2020, 14:23 | 7 |
|
что-то одно для NAT'а оставьте, я просто предложил два варианта, если у вас на WAN интерфейсе адрес статический, то лучше использовать правило с action=src-nat если же адрес динамический, то с action=masquerade
0
|
|
| 30.01.2020, 14:23 | |
| 30.01.2020, 14:23 | |
|
Помогаю со студенческими работами здесь
7
CISCO в режиме Gateway, настройка firewall Трабл с настройкой Firewall на Cisco ASA Cisco 800 series Zone-Based Firewall Лицензии для Cisco ASA Firewall [ENG]
Cisco Firewall - удаленный доступ к серверу через VPN Искать еще темы с ответами Или воспользуйтесь поиском по форуму: |
|
Наверх