Pacho69 Odesláno 8. říjen 2014 Sdílet Odesláno 8. říjen 2014 Mikrotik si, pravda, si dynamicky vytváří routovací tabulku, nicméně tu lze omezit pravidly, buď na interface nebo na IP síť. Na zrušení provozu mezi dvěma interface z různých sítí firewall nutný není, musí stačit pravidla v routovací tabulce (/ip route rule) Citovat Odkaz ke komentáři Sdílet na ostatní stránky More sharing options...
MrChodny Odesláno 8. říjen 2014 Sdílet Odesláno 8. říjen 2014 Máš pravdu, i to je způsob. Citovat Odkaz ke komentáři Sdílet na ostatní stránky More sharing options...
punkac Odesláno 28. říjen 2014 Autor Sdílet Odesláno 28. říjen 2014 Chtěl bych moc poděkovat za včerejší pomoc od Tommma ohledně kompletního nastavení Mikrotiku operativně u mě doma.... Po výměně wlan karet jsem se do toho tak zamotal, že jedině zásah odborníka mě uchránil od rány válečkem od ženy z důvodů "proč jí zase nejde fejsbůk" :D:D Tommme, ještě jednou moc děkuji, jsem tvůj dlužník a to pivko určo dáme, Rychta to jistí Citovat Odkaz ke komentáři Sdílet na ostatní stránky More sharing options...
Péťa Odesláno 28. říjen 2014 Sdílet Odesláno 28. říjen 2014 Asi bych také využil Tommma, pokud by mu to nevadilo. 1. Potřeboval bych zkontrolovat, zda jsem si na svém Mikrotiku vše dobře nakonfiguroval. 2. Chtěl bych zablokovat YouTube u dvou klientů, na PC mi to jde, ale u android tabletu stále jede aplikace YouTube Citovat Odkaz ke komentáři Sdílet na ostatní stránky More sharing options...
punkac Odesláno 28. říjen 2014 Autor Sdílet Odesláno 28. říjen 2014 Péťo, nyní je u mě bratr a ladíme práva.. poradil mi toto IP/Firewall/NAT a tam dáš na kartě GENERAL v políčku CHAIN "dstnat" pak zvolíš dst adres (to je ta co chci přesměrovat) www.youtube.com dále protocol bude 6(TCP) a DST port bude 80 přepnu se do karty ACTION a tam zvolím v Action dst-nat, to addresses dám www.seznam.cz (to je to, kam se má youtube přesměrovat) port bude zase 80 tady můžeš dár třeba www.rouskovi.cz a dát si tam obrázek.... kluci, táta vás vidí a nechtějte ho naštvat :D:D Citovat Odkaz ke komentáři Sdílet na ostatní stránky More sharing options...
Péťa Odesláno 28. říjen 2014 Sdílet Odesláno 28. říjen 2014 Hmmm, já to mám v IP-Firewall-Filter Rules. Ale problém je, že to nezabírá na aplikaci YouTube v androidu Citovat Odkaz ke komentáři Sdílet na ostatní stránky More sharing options...
punkac Odesláno 28. říjen 2014 Autor Sdílet Odesláno 28. říjen 2014 nezakazuju youtube ale přesměrovávám jinam takže by to stačilo zjistit, jaký server hledá aplikace youtube v android zařízení a na to je možná Trafic flow v IP sekci, ale to neumím nastavit Citovat Odkaz ke komentáři Sdílet na ostatní stránky More sharing options...
tommm Odesláno 4. listopad 2014 Sdílet Odesláno 4. listopad 2014 (upraveno) Dostal jsem se k tomu až dneska abych to otestoval. Youtube v mobilu používá port 443 (https). Proto když tam máš jen port 80 tak to na PC správně nechodí a na mobilu chodí. Potíž je v jiné věci. Když přidáš do firewall pravidla cílovou adresu www.youtube.com tak se při zápisu pravidla přeloží přes DNS na IP adresu a v pravidlu je právě ta aktálně přeložená IP. No a youtube má serverů víc kvůli rozložení zátěže a může se stát, že při příštím požadavku to vrátí jinou adresu, která není zablokovaná. (takhle rozkládají zátěž všechny hodně navštěvované weby) - jen pro zajímavost, www.youtube.com má aktuálně asi 61 IP adres v DNS Takže aby se to zablokovalo komplet musely by tam být pravidla pro všechny jejich IP z DNS. A jestli přidají do DNS další IP nového serveru tak by požadavek zase mohl projít. Takže lepší je řešení přes web-proxy. Kontroluje http(s) dotazy a odmítne už pokus o přístup na adresu youtube.com bez DNS překladu. Konfigurace: /ip proxyset enabled=yes port=8080/ip proxy accessadd action=deny dst-host=*.youtube.com src-address=192.168.99.0/24 --- tohle je adresa vnitřní sítě na které jsou PC, kterým budeme youtube zakazovat. a nakonec nasměrujeme přes NAT veškeré dotazy ze sítě blokovaných PC na port 80 a 443 do proxy /ip firewall natadd action=redirect chain=dstnat comment="do proxy" dst-port=80 protocol=tcp src-address=192.168.99.0/24 to-ports=8080add action=redirect chain=dstnat comment="do proxy" dst-port=443 protocol=tcp src-address=192.168.99.0/24 to-ports=8080 Při pokusu o youtube.com to dopadne asi takhle: ERROR: Forbidden While trying to retrieve the URL http://www.youtube.com/: Access DeniedYour cache administrator is velky@borec.cz. Generated Tue, 04 Nov 2014 20:39:30 GMT by 192.168.99.1 (Mikrotik HttpProxy) Upraveno 4. listopad 2014 uživatelem tommm Citovat Odkaz ke komentáři Sdílet na ostatní stránky More sharing options...
Péťa Odesláno 4. listopad 2014 Sdílet Odesláno 4. listopad 2014 OK, vyzkouším a napíšu. Dík!!! Citovat Odkaz ke komentáři Sdílet na ostatní stránky More sharing options...
MrChodny Odesláno 5. listopad 2014 Sdílet Odesláno 5. listopad 2014 A já zase doporučím variantu bez proxy, ale s l7. /ip firewall layer7-protocol add name=facebook regexp="^.+(facebook|youtube).*\$" /ip firewall filter add action=drop chain=forward comment="drop facebook" disabled=yes layer7-protocol=facebook src-address=\ 192.168.1.0/24 Blokují se požadavky na youtube a facebook z adres 192.168.1.0/24 Citovat Odkaz ke komentáři Sdílet na ostatní stránky More sharing options...
tommm Odesláno 5. listopad 2014 Sdílet Odesláno 5. listopad 2014 L7 firewall se taky dá použít, ale záleží na jakém HW ho provozuješ. Spotřebuje spoustu CPU a paměti routeru. Na takových RB133 nebo RB532 (že, punkaci ) bych ho vyloženě nedoporučil. Citovat Odkaz ke komentáři Sdílet na ostatní stránky More sharing options...
Péťa Odesláno 5. listopad 2014 Sdílet Odesláno 5. listopad 2014 Já mám tuhle hračku: http://routerboard.com/RB951Ui-2HnD Citovat Odkaz ke komentáři Sdílet na ostatní stránky More sharing options...
tommm Odesláno 5. listopad 2014 Sdílet Odesláno 5. listopad 2014 (upraveno) Na tomhle přesně jsem to taky testoval. Chystám vyzkoušet L7 řešení ale nevím, jestli přes USB dongle (O2 internet) udělám takovou rychlost aby bylo vidět použití L7 FW na zatížení CPU. Přeci jen, RB951 je dost výkonná mašinka... Nicméně, teď jsem se dočetl, že podle WIKI Mikrotiku, NELZE použít L7 FW na šifrované (https) spojení. Ono je to logické, L7 se kouká do prvních 10 paketů spojení a když obsahují regulární výraz který má definovaný, tak zafunguje. HTTPS spojení je ale zašifrované a logicky L7 FW v tom "sypaném čaji" nenajde nic. Upraveno 5. listopad 2014 uživatelem tommm Citovat Odkaz ke komentáři Sdílet na ostatní stránky More sharing options...
MrChodny Odesláno 5. listopad 2014 Sdílet Odesláno 5. listopad 2014 L7 sice nevidí do https, ale ten regexp řeší hlavně dns dotazy, které zašifrované nejsou. Citovat Odkaz ke komentáři Sdílet na ostatní stránky More sharing options...
punkac Odesláno 5. listopad 2014 Autor Sdílet Odesláno 5. listopad 2014 L7 firewall se taky dá použít, ale záleží na jakém HW ho provozuješ. Spotřebuje spoustu CPU a paměti routeru. Na takových RB133 nebo RB532 (že, punkaci ) bych ho vyloženě nedoporučil. Mě to po tvém zásahu šlape jak víno, brácha mě naučil dělat pravidla omezující to či ono a jsem s tím mikrotik dědečkem spokojený, wifina po výměně karet jede bezproblémů po celém bytě, takže kdybys Tommme měl chuť, můžem někdy skočit na pivsona Citovat Odkaz ke komentáři Sdílet na ostatní stránky More sharing options...
punkac Odesláno 4. listopad 2015 Autor Sdílet Odesláno 4. listopad 2015 Tak po letech zase trochu problémek nevím jestli odchází do věčných lovišť RB532 nebo čínaswitch ovislink s 24 porty.... Co to dělá? Na nějakých PC připojených přes kabel nebo mobilech přes wifi net jde (když dám zobrazit úplnou síťovou mapu ve win7, ukáže to všechna připojená zařízení ve vnitřní síti a i že připojení k internetu je aktivní) Na jiných kompech se dostanu na všechna zařízení ve vnitřní síti ale internet nejde, někdy je na ikonce síťového připojení trojúhelník s hláškou, že připojení není k dispozici ale zase na nasku, TV jiné sdílené disky z jiných kompů, tam se všude dostanu.... Každý den je situace jiná. To co včera nešlo dnes jde a naopak Stačí odpojit na pár minut kabel příslušného pc ze switche nebo restartovat mikrotik a je tak 75% šance, že to půjde..... Čekal jsem nějakou botu ohledně přidělování adres ve vnitřní síti pro jednotlivá zařízení (IP je svázána za pomoci MAC adresy u všech mích zařízení) Ale když ve vnitřní síti vše jde, tak netuším proč jednou notebook, jindy můj stolní pc jindy lenčin iphon nebo ipad a její stolní PC stávkují a na internet se nedostanu. Vše je nastaveno stále stejně, jak před lety udělal Tommm a dříve toto normálně bez problémů fungovalo... Citovat Odkaz ke komentáři Sdílet na ostatní stránky More sharing options...
MrChodny Odesláno 4. listopad 2015 Sdílet Odesláno 4. listopad 2015 (upraveno) není nastavený malý pool pro přidělování adres? Taky prověř desku, jestli na ní nejsou nafouknuté kondenzatory. Edit: beru zpět, pokud máš adresy přidělované staticky podle MAC, poolu se to netýká. /ip pool print Upraveno 4. listopad 2015 uživatelem MrChodny Citovat Odkaz ke komentáři Sdílet na ostatní stránky More sharing options...
punkac Odesláno 4. listopad 2015 Autor Sdílet Odesláno 4. listopad 2015 (upraveno) na desku jsem koukal a kondy jsou alespoň pohledově v pořádku ten příkaz zkusím, až přijedu z práce po 18:00 jak velký číslo mám očekávat pro cca 15 zařízení? EDIT: aha, vše naše je dle MAC, když přijde někdo na návštěvu přidělí IP mikrotik, jenže hosti se na můj rozsah 192.168.2.1 vůbec nedostanou připojí se na jinou wifikartu (která s tou pro naše zařízení není v bridge) a dostávají 192.168.4.XX Upraveno 4. listopad 2015 uživatelem punkac Citovat Odkaz ke komentáři Sdílet na ostatní stránky More sharing options...
MrChodny Odesláno 4. listopad 2015 Sdílet Odesláno 4. listopad 2015 vypíše ti to rozsah adres, které používá DHCP server pro přidělování klientům. Citovat Odkaz ke komentáři Sdílet na ostatní stránky More sharing options...
punkac Odesláno 4. listopad 2015 Autor Sdílet Odesláno 4. listopad 2015 stejně to zkusím, uvidím tam nějakou kolizi? Citovat Odkaz ke komentáři Sdílet na ostatní stránky More sharing options...
Recommended Posts
Zúčastnit se diskuse
Můžete odpovědět a až poté se registrovat If you have an account, sign in now to post with your account.