- iPhone topik
- Sebtapasz: telepíthető az iOS 26.0.1
- Telekom mobilszolgáltatások
- Google Pixel 10 Pro XL – tíz kicsi Pixel
- Apple iPhone 16 Pro - rutinvizsga
- Poco F7
- Azonnali hatállyal felpörgeti az Apple az iPhone 17 gyártást
- Samsung Galaxy S23 és S23+ - ami belül van, az számít igazán
- Samsung Galaxy S23 Ultra - non plus ultra
- Xiaomi 14 - párátlanul jó lehetne
-
Mobilarena
Mikrotik routerekkel foglalkozó téma. Mikrotik router típusok, hardverek, router beállítások, programozás (scriptek írása), frissítés, és minden Mikrotik routerrel kapcsolatos beszélgetés helye.
Új hozzászólás Aktív témák
-
#4348
Sly\'s
csendes tag
Core2duo6600
#4347
Sly\'s
csendes tag
válasz
Core2duo6600
#4347
üzenetére
Ha megnézed az előző hozzászólásom abban erőteljesen szeparálva lettek az input, a forward, és az output láncok.
Fontos, hogy próbálj egy jó rendszert kialakítani az általad felépített tűzfalban, mert különben össze fogsz zavarodni.
Ha elolvastad(és sikerült megértened) a hozzászólásom, akkor abból kiderült, hogy amit én ajánlottam első bejegyzésnek minden láncban az nálad pontosan a 10-es sor.
Az a szabály semmi másra nem jó csak arra, hogy a routered a már felépített és az azokhoz tartozó kapcsolatokat átengedi az input láncon.
Mivel ezek a kapcsolatok csomagjai lesznek elsősorban a legtöbben ezért az input, a forward, és az output láncon is az első sorban helyezzük el, mivel így lesz a legkisebb a routered terhelése.
Minél több aktív tűzfalszabály van a routerben annál több időt vesz igénybe a szabályok és a csomagok vagy kapcsolatok összehasonlítása.
Meg próbálom elemezni az INPUT láncodat:
9 ;;; Allowed to router
chain=input action=accept src-address-list=allowed_to_router in-interface=Lan log=no log-prefix=""Itt ha jól értelmeztem a dolgokat, a LAN interfészről bejövő ALLOWED listába lévő IP címek hozzá férhetnek a routeredhez.
10 ;;; default configuration
chain=input action=accept connection-state=established,related log=no log-prefix=""Ez a szabály lenne az amit előbb már kiveséztem aminek az első helyen ajánlott állnia...
11 ;;; Allowed to router
chain=input action=accept src-address-list=allowed_to_router in-interface=ether4 log=no log-prefix=""Itt ismételten leírod ugyan azt amit az első sorban, csak itt a lan4-re.
12 ;;; From DNS from Wan
chain=input action=drop protocol=udp in-interface=Digi-PPPOE dst-port=53 log=no log- prefix="Drop_DNS"Ennél a sornál tiltod az UDP DNS lekéréseket a Digi-PPPOE interfészen.
13 chain=input action=drop protocol=tcp in-interface=Digi-PPPOE dst-port=53 log=no log-prefix="Drop_DNS"Ennél a sornál tiltod a TCP DNS lekéréseket a Digi-PPPOE interfészen.
14 chain=input action=drop protocol=tcp in-interface=Telekom dst-port=53 log=no log-prefix=""Ennél a sornál tiltod a TCP DNS lekéréseket a Telekom interfészen.
15 chain=input action=drop protocol=udp in-interface=Telekom dst-port=53 log=no log-prefix=""Ennél a sornál tiltod a UDP DNS lekéréseket a Telekom interfészen.
17 ;;; Drop Invalid
chain=input action=drop connection-state=invalid log=no log-prefix="Invalid"Ennél a sornál tiltod(eldobod) a hibás kapcsolatokat
22 chain=input action=drop log=yes log-prefix="Drop"Ennél a sornál minden egyébb csomagot, kapcsolatot eldobsz(tiltod), amit előtte nem engedélyeztél.
Ha most így ebben a formában végignézed az input lánc sorait és értelmezed őket akkor miért kellene működnie az "internetnek" ha tiltod azt a szabályt?
Logikázzunk(ha jól sejtem az egyéb beállításaidat):
- Te szeretnél egy weboldalt megnyitni, ez valahogy sacc. így néz ki:
1. a géped megpróbálja feloldani a DNS címet,
2. mivel ő nem tudja, a routeredhez fordul,
3. a routerd kiküldi a DNS szervernek a kérést,
4. a DNS szerver elméletileg lesz olyan jó fej, hogy válaszol a kérésedre,
5. DE mivel te befogod a "fülét" a routernek(mivel kikapcsolod a "10"-es szabályt) így ő nem hallja meg a választ, ezért a te géped nem tudja feloldani a DNS-t, így nem tudod megnézni a weboldalt...Megpróbáltam "egyszerűsíteni" a tűzfalad picit saját logika alapján(ez lehet nem teljesen megfelelő neked)...
Remélem érzékeled a különbséget(lehet ezt még jobban is egyszerűsíteni de most nem kavarlak bele)... 
/ip firewall filter
add action=accept chain=input connection-state=established,related \
comment="Enged\E9lyezz\FCk a m\E1r fel\E9p\FClt \E9s a hozz\E1(juk) kapcsol\F3d\F3 kapcsolato(ka)t. [ Forr\E1s: https://wiki.mikrotik.com/wiki/Tips_and_Tricks_for_Beginners_and_Experienced_Users_of_RouterOS#Firewall ]"
add action=drop chain=input comment="Hib\E1s csomagok eldob\E1sa" connection-state=invalid
add action=accept chain=Internet comment="ICMP csomagok enged\E9lyez\E9se" protocol=icmp
add action=accept chain=Internet comment="MikroTik FTP" disabled=yes dst-port=21 protocol=tcp
add action=accept chain=Internet comment="MikroTik SSH" disabled=yes dst-port=22 protocol=tcp
add action=accept chain=Internet comment="MikroTik DNS" disabled=yes dst-port=53 protocol=tcp
add action=accept chain=Internet comment="MikroTik DNS" disabled=yes dst-port=53 protocol=udp
add action=accept chain=Internet comment="MikroTik HTTP" disabled=yes dst-port=80 protocol=tcp
add action=accept chain=Internet comment="MikroTik HTTPS" disabled=yes dst-port=443 protocol=tcp
add action=accept chain=Internet comment="MikroTik Bandwidth Test" dst-port=2000 protocol=tcp
add action=accept chain=Internet comment="MikroTik Bandwidth Test" dst-port=2000 protocol=udp
add action=accept chain=Internet comment="MikroTik WinBox" dst-port=8291 protocol=tcp
add action=drop chain=Internet comment="Internet fel\F5l minden m\E1s csomag logol\E1s \E9s eldob\E1s" log=yes log-prefix=\
"DROP[Internet]: "
add action=jump chain=input comment=Digi in-interface=pppoe-out1 jump-target=Internet
add action=jump chain=input comment=Telekom in-interface=pppoe-out2 jump-target=InternetEbben a megoldásban létrehozok egy láncot "Internet" néven, és a két internet kapcsolat interfészét átirányítom és csak egyszer hozom létre a szabályaimat.
Ami kell azt bekapcsolom ami nem kell az marad kikapcsolva.
Az utolsó szabály így is úgyis eldobja az összes előtte nem engedélyezett csomagot, kapcsolatot, így nem dobálgatok szolgáltatásonként el(nálad DNS)...
Itt az internet felől bekapcsolva hagytam a WinBox-ot ill. Bandwidth Test portjait...
Mivel nem tudom a belsőhálózatod, hogy épül fel így azzal nem foglalkoztam most.Remélem segít valamit ez a kesze-kusza hozzászólás...
Nem épp jó a fogalmazócskám így kérek mindenkit, hogy ezt nézze el nekem.
Illetve, ha valaki valami rosszat sejt a hozzászólásomban, akár bántást, esetleg negatív hullámokat, attól elnézést kérek, mert nem állt szándékomban!!!Üdv. Slys!
Új hozzászólás Aktív témák
ekkold
- Asus TUF F17 // Rtx 4060 8gb // QHD 240hz // 32gb ram // 13th gen i9 13900H 2.60Ghz // SSD 1 TB //
- Bravo 15 C7UDX 15.6" FHD IPS Ryzen 7 7735HS RTX 3050 16GB 512GB NVMe magyar vbill gar
- Precision 3580 15.6" FHD IPS i7-1370P RTX A500 32GB 1TB NVMe magyar vbill IR kam gar
- Erő és Megbízhatóság: Dell Latitude E6530 (14", i7) Laptop SSD-vel, laptoptáskával!
- iPhone 16 PRO MAX 256GB fehér titán MEDIAMARKT számla 2027 szeptember 19-ig Apple garancia! Akku 97%
- LG 77C4 - 77" OLED evo - 4K 144Hz - 0.1ms - NVIDIA G-Sync - FreeSync - HDMI 2.1 - 1000 Nits
- Azonnali készpénzes AMD Radeon RX 6000 sorozat videokártya felvásárlás személyesen/csomagküldéssel
- Utolsó 1 darab - Sennheiser MOMENTUM 4 fejhallgatók
- AKCIÓ! MSI Z87-G43 GAMING Z87 chipset alaplap garanciával hibátlan működéssel
- BESZÁMÍTÁS! ASUS A620M R7 7700X 32GB DDR5 1TB SSD RX 7900 XTX 24GB ZALMAN I3 NEO EVGA 850W
Állásajánlatok
Cég: Laptopműhely Bt.
Város: Budapest
Cég: PCMENTOR SZERVIZ KFT.
Város: Budapest