Сервисный центр Чипсет. Ремонт компьютеров в Павловском Посаде Телефон сервисного центра чипсет 8(967) 239 06 24

«Бложка»

Наш Блог
Все статьи...

Наш Блог

Все статьи > Firewall Filter Mikrotik— блокируем и разрешаем

 

Здесь создаются блокирующие и разрешающие правила.
Если записей никаких нет - то все разрешено.
Порядок записей имеет значение.
Проверка правил происходит сверху вниз.
Если пакет соответствует правилу, то дальнейшая проверка не происходит, если конечно не стоит галка PassTrugh
Есть 2 варианта.
Мягкий - Добавлять только запрещающие правила. Все остальное разрешать.
Жесткий - поставить запрещающее правило на все. А сверху добавлять разрешающие.
Блокируется или входящие пакеты или исходящие.

Важно!

1. Никогда не пытайтесь одним правилом блокировать входящие и исходящие пакеты одновременно.Это ошибка.
Просто создайте при необходимости 2 правила - на входящие и исходящие пакеты.
А лучше блокировать только исходящие пакеты еще на взлете. Входящих пакетов само собой уже не будет.Да и Роутер разгрузится от лишнего входящего траффика.

2. Есть 2 типа пакетов - входящие и исходящие.
Важно! Src.Address и Dst.Address в правилах меняются местами. В зависимости от направления движения пакета.

Входящие - это из интернета к нам.
Src.Address - это интернет-адрес отправителя (сервера в интернете).
Dst.Address - это интернет-адрес Микротика (получателя). Если это правило в цепочке PreRouting. или
Dst.Address - это локальный адрес клиента (получателя). Если это правило в цепочке Forward или PostRouting.

Исходящие - это от нас в интернет.
Src.Address - это интернет-адрес отправителя (Микротика) . Если это правило в цепочке PostRouting. или
Src.Address - это локальный адрес клиента (отправителя). Если это правило в цепочке Forward или Prerouting.
Dst.Address - это интернет-адрес получателя (сервера в интернете).

3. В правилах всегда указывайте Out. Interface или In. Interface.
Причем, если указываете In. Interface - LAN1, то это исходящий трафик.
Значит Dst.Address - это должен быть адрес интернет-ресурса. А Src.Address - это адрес вашей локалки или Микротика
если указываете Out. Interface - LAN1, то это входящий трафик.
Значит Dst.Address - это должен быть адрес вашей локалки или Микротика. А Src.Address - адрес интернет-ресурса.
Это очень важно!
То же самое (п. 1 и 2) касается и Mangle.

Автор: Yorku, ©"Копипаст"

На правах рекламы:
Студия Праздников "ИМПЕРИЯ SHOW"
Кинотеатр Павловский
Видеонаблюдение. Быстро и качественно.
Сайт зарегистрирован в каталоге Top2Web.ru
Ремонт компьютеров и ноутбуков в Павловском Посаде.
Яндекс.Метрика Песок. Песок намывной. Песок карьерный. Песок для полусухой стяжки. У нас вы можете купить карьерный песок. Песок строительный с доставкой.

4ipset.ru® - Ремонт компьютеров, ремонт мониторов, ремонт сотовых телефонов, заправка картриджей и создание сайтов в Павловском Посаде.