-
Fototrend
Mikrotik routerekkel foglalkozó téma. Mikrotik router típusok, hardverek, router beállítások, programozás (scriptek írása), frissítés, és minden Mikrotik routerrel kapcsolatos beszélgetés helye.
Új hozzászólás Aktív témák
-
#12541
bacus
őstag
Core2duo6600
#12536
bacus
őstag
válasz
Core2duo6600
#12536
üzenetére
"Mit értesz a
Az átláthatóságot nagyban megkönnyíti, ha már az elején saját chainekbe rakja az ember a szabályokat, -on?"Nehéz ezt megfogalmazni, ha ezt a kérdést feltetted
Irtál valaha is programot bármilyen nyelven? Basic-ben subrutinnak, más nyelveken prodecure -knek hívják, amikor a folyamatból kiugratsz egy kódrészletbe, majd az visszatér.
Ilyesmi a saját chain is, pl azt szeretném, hogy bizonyos portokat használókról log bejegyzés készüljön, sőt bizonyos esetekben dobja el, vagy épp fogadja el a csomagot, stb, pl ki használ ftp-t.Itt lehet felvenni ilyen szabályokat az input chainbe (mondjuk 10 szabályból áll ez a rész), meg ugyan ezeket a szabályokat a forward chainbe is (ez újabb 10 szabály), de elegánsabb, ezt a 10 szabályt kiemelni egy saját pl FTPUSERS chainbe, majd egy egy jump utasitással beleugratni mindkét (input és forward) chainből ide, így azon kívül, hogy 12 szabálysor lett a 20 helyett, könnyebb átlátni, illetve nem marad el javítás mindkét chainbe...
Amennyiben nincs illeszkedő szabály, akkor visszatér a jump utáni részbe a kiértékelés, ha van, akkor pedig ott befejeződik.
Én általában létrehozok egy ICMP chaint, ahol a pingelés miatti szabályok vannak felvéve, ha kell logolni akkor sokszor van egy VIRUS chain, ami mondjuk az ismert portokat blokkolja, logolja, és persze egyéb PORTSCAN, UGYFELTIP1, UGYFELTIP2 (ügyfél tipus profilok), stb.
Ugyan ezt meg lehet csinálni a NAT szabályoknál is, ott ugye az alap srcnat és dstnat chain-eket lehet bővíteni.
Az átláthatóságot pedig azért növel, mert hiba kereséskor egyszerűen le tudod szűrni, hogy csak az adott chain szabályai látszódjanak, így nem kell 50-100 szabályt görgetni, átlátni, elég
azt a releváns 5-10 szabályt átnézni egyszerre, illetve ezt kiegészítve a címlistákkal, pedig könnyen besorolhatóak az ügyfelek (külsősök) típusokba, ki mit ér el, mihez kap hozzáférést.Mielőtt még mazohistának néztek az alap tűzfal konfig messze nem ilyen bonyolult
-
#12537
Alteran-IT
őstag
Core2duo6600
#12536
Alteran-IT
őstag
válasz
Core2duo6600
#12536
üzenetére
Lenne amúgy egy olyan kérdésem, hogy mi a fenéért szopatod magad ezzel a hülyeséggel és miért van azon a WiFi-n külön hálózat, amit te is használsz? Mert épp ésszel nem bírom felfogni, ugyanis ezzel a routert is feleslegesen szopatod, mert 2-3x annyi tűzfalszabályt kell alkalmazni és ahogy elnézem itt hogy NAT szabállyal sikerült megoldani azt, amihez nem is kellene semmilyen szabály. Nem sokkal egyszerűbb lenne két WiFi hálózat és az egyik belső, a másik meg egy vendég, utóbbira meg minden olyan eszközt felengedhetsz, aminek kellene net, de nem kellene hogy lássa a belső hálón a dolgokat és a tiltást egyetlen egy szabállyal meg tudnád oldani a vendég hálózat esetén, max. akkor kellene kettő, ha a másik oldalról is külön blokkolnád a belátást, de felesleges.
Egy kicsit is értelmesebb ember egy perc alatt egy MAC klónozással vagy hasonlóval kijátssza ezt a hülyeséget és ugyan úgy átlát, szóval csak saját magad szopatod, főleg hogy ahogy látom, nem is nagyon mennek a hálózati ismeretek, persze ezzel nem kötekedni akarok, csupán segíteni, de már nem tudok elmenni simán egy olyan "megoldás" mellett, amivel magadat is, meg a routert is szivatod és tényleg azt sem értem, első konfigurálásra miért nem ment még külön hálózaton sem, mert lefixálod az IP-ket, azt egy szabállyal megoldod, hogy 2.x-től 2.y-ig átlásson a 1.x-be, a többiről meg blokkolva, mert ugye engedélyezést alap esetben nem is kell szabállyal definiálni, csak a tiltást.
Egyébként meg a két netes dolgot sem értem, mivel az idegen eszközöket nem muszáj másik netre kirakni hogy ne lásson át a te hálózatodba, ha meg csak az idegen eszközöket akarod megint leválasztani hogy ne terheljék a saját eszközök által használt netet, akkor megint megoldod két WiFi hálózattal, azt max. saját eszközzel váltogatsz köztük ha akarod hogy belásson az eszköz a hálózatba, vagy ha nem, sokkal egyszerűbb és nem muszáj mindig új szabályokat felvenni, mondjuk ha a fentebb említett módszerrel csinálod, akkor sem, csak a routinggal megint feleslegesen terheled a routered processzorát, de ha nagyon akarod a két hálózatos dolgot, akkor csináld úgy ahogy leírtam.
De egyébként meg egy kis logikával azt is meg lehet nagyon egyszerűen csinálni, hogy csak egy hálózatod van és azon külön veszed a vezetékes eszközöket, meg a Wifi-seket IP alapján, utóbbiakat meg ugyan abból a hálózatból egy másik internetre NAT-olod azt jól van, ha CAPSMAN-al van a WiFi menedzselve, akkor talán az is könnyen megoldható, hogy ugyan abban a tartományban lévő eszközök ne lássák egymást, csak ahhoz a processzoron kell átmenni a forgalomnak és nem a switch-en, de ez is inkább konfiguráció kérdése, viszont még mindig nem szopatod magad vele annyira, meg a routert sem.
Új hozzászólás Aktív témák
ekkold- Xeon 6+ néven hozza a Clearwater Forestet az Intel
- Arc Raiders
- PlayStation 4
- CASIO órák kedvelők topicja!
- Háztartási gépek
- GB10 Superchipre épülő minigépet villantott az ASUS
- Telekom otthoni szolgáltatások (TV, internet, telefon)
- sziku69: Szólánc.
- sziku69: Fűzzük össze a szavakat :)
- Luck Dragon: Asszociációs játék. :)
- További aktív témák...
- AKCIÓ!!! DDR5 GAMER PC: Intel Core Ultra 7 265KF +RX 9070/9070 XT +16-64GB DDR5! GAR/SZÁMLA!
- AKCIÓ! GAMER PC: i5-14400F (10mag/16szál) +RTX 5050/5060/5060Ti/5070/5080 +16-64GB DDR4! GAR/SZÁMLA!
- iPhone 13 Pro 126GB Gold Független 89% Gyári Akku iOS 17.3.
- Dell OptiPlex 7050 Micro i5-7500 / 8GB RAM / 256GB M.2 SSD
- Kompakt Gamer PC - i5-4750 + R9 380 4GB + 8 GB RAM
- 10magos! Fémvázas! HP EliteBook 860 G9 i7-1255U 16GB 512GB 16" FHD+
- HIBÁTLAN iPhone 13 Pro 128GB Alpine Green -1 ÉV GARANCIA - Kártyafüggetlen, MS2978
- BESZÁMÍTÁS! ASUS ROG Z690 i9 14900K 32GB DDR4 1TB SSD RTX 3090 OC 24GB be quiet Pure Base 500 850W
- HIBÁTLAN iPhone 13 256GB Pink -1 ÉV GARANCIA - Kártyafüggetlen, MS3421
- Nvidia Quadro M2000/ P2000/ P4000/ RTX 4000/ RTX 5000/ RTX A2000
Állásajánlatok
Cég: NetGo.hu Kft.
Város: Gödöllő
Cég: Promenade Publishing House Kft.
Város: Budapest