[研究所] MikroTik RouterOS 學習 (持續更新) (第190頁)

gfx
個人積分：1603分
文章編號：49875342

1603分

1891樓

2014-04-28 9:52

ipphone wrote:
新手請問大大，我的 ...(恕刪)

add chain=input in-interface=ether2-master-local-lan1 src-address=192.168.88.0/24 comment="From our LAN1" action=accept
這條Rule是無效的.
in-interface 與src-address 與src-address-list同個rule您只能使用一種定義;
相對out-interface 與dst-address 與dst-address-list也是相同.

況且您的ether2-master-local-lan1不就是區網192.168.88.0/24嗎?
所以in-interface=ether2-master-local-lan1 或src-address=192.168.88.0/24
您只需留其中一個就好,留兩個反而會無法工作.

霸王色

霸王色
個人積分：0分
文章編號：49879281

0分

1892樓

2014-04-28 13:20

請問為什麼我的450G看網路直播例如:Justin.tv會斷斷續續的?

ipphone

ipphone
個人積分：0分
文章編號：49881572

0分

1893樓

2014-04-28 15:29

pctine wrote:
在最後一條 rule 之前, 允許 PPTP port number 1723/TCP.

謝謝 pctine 大的說明，經過這樣設定後，已經可以正常連線了。

ipphone

ipphone
個人積分：0分
文章編號：49881981

0分

1894樓

2014-04-28 15:52

gfx wrote:
in-interface 與src-address 與src-address-list同個rule您只能使用一種定義;
相對out-interface 與dst-address 與dst-address-list也是相同...(恕刪)

謝謝 gfx 大的說明！

霸王色

霸王色
個人積分：0分
文章編號：49883711

0分

1895樓

2014-04-28 17:30

youtube不會這樣斷斷續續的 ping也沒掉封包

回覆自 2400:cb00:2048:1::6ca2:c4e8: 時間=136ms
回覆自 2400:cb00:2048:1::6ca2:c4e8: 時間=136ms
回覆自 2400:cb00:2048:1::6ca2:c4e8: 時間=136ms
回覆自 2400:cb00:2048:1::6ca2:c4e8: 時間=136ms

2400:cb00:2048:1::6ca2:c4e8 的 Ping 統計資料:
封包: 已傳送 = 4，已收到 = 4, 已遺失 = 0 (0% 遺失)，
大約的來回時間 (毫秒):
最小值 = 136ms，最大值 = 136ms，平均 = 136ms
這樣算正常嗎?

gfx

gfx
個人積分：1603分
文章編號：49884171

1603分

1896樓

2014-04-28 18:00

霸王色 wrote:
youtube不會這...(恕刪)

您的ping回應有點慢,我的數據機是Zyxel P883

霸王色

霸王色
個人積分：0分
文章編號：49884740

0分

1897樓

2014-04-28 18:38

gfx wrote:
您的ping回應有點...(恕刪)

我設定ipv6防火牆icmpv6設定完一樣沒變還是很高
是哪裡有問題

霸王色

霸王色
個人積分：0分
文章編號：49884752

0分

1898樓

2014-04-28 18:39

gfx wrote:
您的ping回應有點...(恕刪)

我數據機是p880 2t2r

gfx

gfx
個人積分：1603分
文章編號：49886086

1603分

1899樓

2014-04-28 20:17

霸王色 wrote:
我設定ipv6防火牆...(恕刪)

霸王色 wrote:
我數據機是p880 ...(恕刪)

p880是單銅纜數據機，反應應該是比雙銅纜的p883好。
如今表現差，有可能您連到慢的Youtube伺服器了，您過幾日再測試；
或者您關閉全部的firewall rule再試試。

chief51688

chief51688
個人積分：710分
文章編號：49886441

710分

1900樓

2014-04-28 20:44

不好意思,新手有問題請教.
先介紹網路環境:
hinet 60M/15M 2台PC,Win7主機直接連P874,ubuntu14.04接routeros X86PC(以下稱路由主機),均使用PPPOE方式,路由主機WAN與LAN(10.1.1.0/24)的arp解析關閉,P874 PPPOE service己刪除,有MOD.

4/27發現LOG有一條訊息 SMB,info create PUB share,隨即查看file果然有一個PUB文件夾,心想被入侵了,立刻刪除PUB,重開機.我猜想這可能是因為路由主機改設定必須開ARP解析才能連入,我關閉ARP後沒有重新開機導致的??

4/28發現路由表異常如下圖

本來都是使用windows系統,可以裝的防火牆與防毒軟體,還有pfsense之類的軟路由都裝不少,DD填0後重灌通常都是一連網沒多久就被入侵.
換用ubuntu 12.04 Live CD!也是同樣,到此應該可以排除是病毒木馬的原因,於是使用wireshark捉包發現不管TCP,UDP,ICMP一次都來2個其中一個檔頭常常是我網卡的MAC位址,iptables只能DROP其中一個,arptables也只能阻斷ARP封包,MAC/IP雙綁都沒用.

問題:
1:請問4/28路由表異常是什麼原因??該如何防止???

2:請問RB450關閉ARP後,還能用winbox更改設定嗎??或是有其他方法??

3:直接連P874 用PPPOE撥接會收到其他私網的IGMP V2與ARP封包,這是正常的嗎?(己解決)

4:firewall filter是否有漏洞導致被入侵?

附上我的firewall filter:

0 chain=input action=drop protocol=icmp in-interface=WAN
1 chain=input action=accept protocol=tcp src-address=10.1.1.0/24
in-interface=LAN dst-port=80,443,8080,7799,8888
2 chain=input action=accept protocol=udp src-address=10.1.1.0/24
in-interface=LAN dst-port=53
3 chain=input action=drop connection-state=new in-interface=WAN
4 chain=input action=drop connection-state=invalid in-interface=WAN
5 chain=input action=drop protocol=udp src-address=!208.67.220.220
in-interface=WAN
6 chain=input action=drop protocol=tcp in-interface=WAN dst-port=0-10240
7 chain=input action=drop protocol=udp in-interface=WAN dst-port=0-10240
8 chain=input action=accept connection-state=established protocol=tcp
in-interface=WAN src-port=80,443,8080
9 chain=input action=accept connection-state=established protocol=udp
src-address=208.67.220.220 in-interface=WAN src-port=53
10 chain=input action=drop
11 chain=output action=accept connection-state=new protocol=tcp
out-interface=WAN dst-port=80,443,8080
12 chain=output action=accept connection-state=established protocol=tcp
out-interface=WAN dst-port=80,443,8080
13 chain=output action=accept connection-state=new protocol=udp
dst-address=208.67.220.220 out-interface=WAN dst-port=53
14 chain=output action=drop out-interface=WAN