-
Fototrend
Mikrotik routerekkel foglalkozó téma. Mikrotik router típusok, hardverek, router beállítások, programozás (scriptek írása), frissítés, és minden Mikrotik routerrel kapcsolatos beszélgetés helye.
Új hozzászólás Aktív témák
-
#12541
bacus
őstag
Core2duo6600
#12536
bacus
őstag
válasz
Core2duo6600
#12536
üzenetére
"Mit értesz a
Az átláthatóságot nagyban megkönnyíti, ha már az elején saját chainekbe rakja az ember a szabályokat, -on?"Nehéz ezt megfogalmazni, ha ezt a kérdést feltetted
Irtál valaha is programot bármilyen nyelven? Basic-ben subrutinnak, más nyelveken prodecure -knek hívják, amikor a folyamatból kiugratsz egy kódrészletbe, majd az visszatér.
Ilyesmi a saját chain is, pl azt szeretném, hogy bizonyos portokat használókról log bejegyzés készüljön, sőt bizonyos esetekben dobja el, vagy épp fogadja el a csomagot, stb, pl ki használ ftp-t.Itt lehet felvenni ilyen szabályokat az input chainbe (mondjuk 10 szabályból áll ez a rész), meg ugyan ezeket a szabályokat a forward chainbe is (ez újabb 10 szabály), de elegánsabb, ezt a 10 szabályt kiemelni egy saját pl FTPUSERS chainbe, majd egy egy jump utasitással beleugratni mindkét (input és forward) chainből ide, így azon kívül, hogy 12 szabálysor lett a 20 helyett, könnyebb átlátni, illetve nem marad el javítás mindkét chainbe...
Amennyiben nincs illeszkedő szabály, akkor visszatér a jump utáni részbe a kiértékelés, ha van, akkor pedig ott befejeződik.
Én általában létrehozok egy ICMP chaint, ahol a pingelés miatti szabályok vannak felvéve, ha kell logolni akkor sokszor van egy VIRUS chain, ami mondjuk az ismert portokat blokkolja, logolja, és persze egyéb PORTSCAN, UGYFELTIP1, UGYFELTIP2 (ügyfél tipus profilok), stb.
Ugyan ezt meg lehet csinálni a NAT szabályoknál is, ott ugye az alap srcnat és dstnat chain-eket lehet bővíteni.
Az átláthatóságot pedig azért növel, mert hiba kereséskor egyszerűen le tudod szűrni, hogy csak az adott chain szabályai látszódjanak, így nem kell 50-100 szabályt görgetni, átlátni, elég
azt a releváns 5-10 szabályt átnézni egyszerre, illetve ezt kiegészítve a címlistákkal, pedig könnyen besorolhatóak az ügyfelek (külsősök) típusokba, ki mit ér el, mihez kap hozzáférést.Mielőtt még mazohistának néztek az alap tűzfal konfig messze nem ilyen bonyolult
-
#12537
Alteran-IT
őstag
Core2duo6600
#12536
Alteran-IT
őstag
válasz
Core2duo6600
#12536
üzenetére
Lenne amúgy egy olyan kérdésem, hogy mi a fenéért szopatod magad ezzel a hülyeséggel és miért van azon a WiFi-n külön hálózat, amit te is használsz? Mert épp ésszel nem bírom felfogni, ugyanis ezzel a routert is feleslegesen szopatod, mert 2-3x annyi tűzfalszabályt kell alkalmazni és ahogy elnézem itt hogy NAT szabállyal sikerült megoldani azt, amihez nem is kellene semmilyen szabály. Nem sokkal egyszerűbb lenne két WiFi hálózat és az egyik belső, a másik meg egy vendég, utóbbira meg minden olyan eszközt felengedhetsz, aminek kellene net, de nem kellene hogy lássa a belső hálón a dolgokat és a tiltást egyetlen egy szabállyal meg tudnád oldani a vendég hálózat esetén, max. akkor kellene kettő, ha a másik oldalról is külön blokkolnád a belátást, de felesleges.
Egy kicsit is értelmesebb ember egy perc alatt egy MAC klónozással vagy hasonlóval kijátssza ezt a hülyeséget és ugyan úgy átlát, szóval csak saját magad szopatod, főleg hogy ahogy látom, nem is nagyon mennek a hálózati ismeretek, persze ezzel nem kötekedni akarok, csupán segíteni, de már nem tudok elmenni simán egy olyan "megoldás" mellett, amivel magadat is, meg a routert is szivatod és tényleg azt sem értem, első konfigurálásra miért nem ment még külön hálózaton sem, mert lefixálod az IP-ket, azt egy szabállyal megoldod, hogy 2.x-től 2.y-ig átlásson a 1.x-be, a többiről meg blokkolva, mert ugye engedélyezést alap esetben nem is kell szabállyal definiálni, csak a tiltást.
Egyébként meg a két netes dolgot sem értem, mivel az idegen eszközöket nem muszáj másik netre kirakni hogy ne lásson át a te hálózatodba, ha meg csak az idegen eszközöket akarod megint leválasztani hogy ne terheljék a saját eszközök által használt netet, akkor megint megoldod két WiFi hálózattal, azt max. saját eszközzel váltogatsz köztük ha akarod hogy belásson az eszköz a hálózatba, vagy ha nem, sokkal egyszerűbb és nem muszáj mindig új szabályokat felvenni, mondjuk ha a fentebb említett módszerrel csinálod, akkor sem, csak a routinggal megint feleslegesen terheled a routered processzorát, de ha nagyon akarod a két hálózatos dolgot, akkor csináld úgy ahogy leírtam.
De egyébként meg egy kis logikával azt is meg lehet nagyon egyszerűen csinálni, hogy csak egy hálózatod van és azon külön veszed a vezetékes eszközöket, meg a Wifi-seket IP alapján, utóbbiakat meg ugyan abból a hálózatból egy másik internetre NAT-olod azt jól van, ha CAPSMAN-al van a WiFi menedzselve, akkor talán az is könnyen megoldható, hogy ugyan abban a tartományban lévő eszközök ne lássák egymást, csak ahhoz a processzoron kell átmenni a forgalomnak és nem a switch-en, de ez is inkább konfiguráció kérdése, viszont még mindig nem szopatod magad vele annyira, meg a routert sem.
Új hozzászólás Aktív témák
ekkold- Xiaomi 14T - nem baj, hogy nem Pro
- Hobby elektronika
- Folyószámla, bankszámla, bankváltás, külföldi kártyahasználat
- Fogyjunk le!
- Hitelkártyák használata, hitelkártya visszatérítés
- PlayStation 5
- Épített vízhűtés (nem kompakt) topic
- Milyen belső merevlemezt vegyek?
- Subaru topik
- India felől közelít egy 7550 mAh-s Redmi
- További aktív témák...
- ÁRGARANCIA!Épített KomPhone Ryzen 7 5700X 16/32/64GB RAM RTX 4060Ti 8GB GAMER PC termékbeszámítással
- Bomba ár! HP 255 G7 - AMD A4 I 4GB I 128SSD I HDMI I 15,6" FHD I Radeon I HDMI I W11 I Cam I Gari!
- Dixit 4 Eredet (bontatlan, fóliás kártyacsomag)
- Acer Nitro 5 -AN515 - 15.6"FHD IPS 144Hz - i7-11800H - 16GB - 512GB SSD+1TB HDD -RTX 3050 - Garancia
- Bomba ár! Dell Latitude E7240 - i7-4GEN I 16GB I 256SSD I 12,5" HD I HDMI I Cam I W10 I Garancia!
Állásajánlatok
Cég: CAMERA-PRO Hungary Kft
Város: Budapest
Cég: PCMENTOR SZERVIZ KFT.
Város: Budapest