[研究所] MikroTik RouterOS 學習 (持續更新) (第221頁)

gfx
個人積分：1603分
文章編號：51353899

1603分

2201樓

2014-07-29 21:02

add action=drop chain=input dst-address-type=!local

將目的非您的分享器WAN的連線(dst-address=!local)給drop ,
避免分享器被當跳板.

此Rule是整個firewall filter裡最重要的,請擺"第一位"
加入後您可到/ip firewall connection查除對電腦連接外,奇怪不知名的連線是否都消失?

add action=drop chain=input src-address-type=!unicast

將來源自網際網路的非單播連線(src-address-type=!unicast)給drop ,避免分享器被攻擊.

menchieh

menchieh
個人積分：0分
文章編號：51354381

0分

2202樓

2014-07-29 21:32

gfx wrote:
會不會被攻擊了,匯入...(恕刪)

感謝gfx大大的回覆，感激不盡!

TONYTC

TONYTC
個人積分：0分
文章編號：51354864

0分

2203樓

2014-07-29 21:56

gfx wrote:
將目的非您的分享器W...(恕刪)

明白,感謝解釋
當跳板是什麼意思?

gfx

gfx
個人積分：1603分
文章編號：51356656

1603分

2204樓

2014-07-29 23:19

TONYTC wrote:
明白,感謝解釋當跳板...(恕刪)

假借您電腦IP身份幹壞事,有事您來承擔.

在/ip firewall connection列表裡顯示的connections,
每一筆connection的src-address 或 dst-address 至少一邊該是顯示內網電腦的IP,
如:192.168.1.100 之類的(包含VPN Pool);

或是分享器WAN-IP,如:220.123.123.22

假如src-address 或 dst-address兩邊都是您不認得外網IP,
非與您分享器或電腦有關,這connection就極有疑慮和問題.

TONYTC

TONYTC
個人積分：0分
文章編號：51357281

0分

2205樓

2014-07-29 23:51

gfx wrote:
假借您電腦IP身份幹...(恕刪)

完全明白了...就是大概如果被人入侵了,就會被當成中轉站之類...

gfx

gfx
個人積分：1603分
文章編號：51357381

1603分

2206樓

2014-07-29 23:57

TONYTC wrote:
完全明白了...就是...(恕刪)

是的! 日後您會發現這筆Rule幾乎幾分每分每秒都在工作,量大到您想不到.

dthuang8

dthuang8
個人積分：5分
文章編號：51391860

5分

2207樓

2014-07-31 20:35

小弟是路由新手，
以前公司的網路外包，現在攬下來自己搞。
無意間看到 RouterOS ，雖然設定上很複雜，
但感覺功能真的超級強大，所以就買了兩台 RB450G 回來玩。

一台放公司(簡稱B)，一台放家裡(簡稱H)。
兩台做 IPSec/L2TP VPN。

不過現在出了點問題，
還請知道問題黴結點的大大，
幫個小忙，小弟在此先謝過。

B： (有做雙 ADSL 負載平衡)
Public : 1.1.1.1
Public : 2.2.2.2
Local : 192.168.1.1/24

H:
Public : 3.3.3.3
Local : 192.168.2.1/24

參考各位大大的留言及官網的範例，
IPSec/L2TP 已經設定完成，(1.1.1.1 <-> 3.3.3.3)
而且 H 也能 Ping 通 B 的所有 IP。
但 B 連 H 的 Local 也 Ping 不通，其他的 IP 就更不用講了。

從 H 用 tracert 192.168.2.1 去追蹤的結果是...
出 192.168.1.1 後，就通通逾時了。

拜請咕狗大神，爬文爬了三天...看到眼睛眼花！
個人猜測可能是跨網段路由沒設罝的關係，
所以到 routes 中加了
Dst. Address=192.168.2.0/24
Gateway=192.168.2.1
狀態碼是 S ，可能沒設成功。所以仍舊 Ping 不通。

還請各位大大指導一下，萬分感謝！

dthuang8

dthuang8
個人積分：5分
文章編號：51392093

5分

2208樓

2014-07-31 20:50

在 B 這邊加了下面這道命令...

/ip firewall nat
add chain=srcnat action=accept place-before=0 \
src-address=192.168.1.0/24 \
dst-address=192.168.2.0/24

居然就 Ping 得通了......

dthuang8

dthuang8
個人積分：5分
文章編號：51392225

5分

2209樓

2014-07-31 20:59

不過...

RB450G 重新開機後，

就又 Ping 不通了...

還請大大指導！

gfx

gfx
個人積分：1603分
文章編號：51395956

1603分

2210樓

2014-08-01 0:38

dthuang8 wrote:
兩台做 IPSec/L2TP VPN

ROS L2TP/IPSec Client與Server一樣要設定IPSec,但內容有些許的不同.
您客戶端分享器有設定這些嗎?
/ip ipsec peer

/ip ipsec polic

連線已後,IPSec要有相關對應的資訊才是L2TP/IPSec site to site

否則就只是L2TP site to site ,沒有IPSec加密的連線.

還有一點您的VPN Server是公司的,還是家中的RB450G ?

B：(有做雙 ADSL 負載平衡)
Public : 1.1.1.1
Public : 2.2.2.2
Local : 192.168.1.1/24

不知道您是怎麼做負載平衡,不過拿我的做參考.
Public1:

Add Default Route請勾選.

Public2:
Add Default Route不勾選.

/ip firewall mangle
Public1:略過,不建立Mangle
Public2:

All-Lan是網域list ,含Default-LAN與VPN Pool所有..請事先列好.
/ip firewall address-list

/ip route
Public1:略過不建立Route ,系統會自建
Public2:

為何不做Public1 ?
因為有一半的流量會透過PCC規劃,從Public2 ;
至於剩下的沒規畫的自會從Default Route出去,而Default Route即Public1 .這樣懂了吧!

當然做Public1的PCC也沒問題,但個人覺得多此一舉.

H 也能 Ping 通 B 的所有 IP。
但 B 連 H 的 Local 也 Ping 不通，其他的 IP 就更不用講了。

問題在您B做負載平沒設好,看上面我的範例見到端倪了嗎?
您Dst-address沒有設例外!!

因為負載平衡Rule沒建好的關係,您 B (192.168.1.0/24) 要連 H (192.168.2.0/24) ,
結果Rule把它送往Public (1.1.1.1或2.2.2.2)...

B 連 H 被錯誤的引導區網當然連接不起來;
而 H 連 B 因沒建負載平衡,當然沒有誤導的問題,這樣您應該能理解了吧!!

至於/ip firewall nat ,設Public1和Public2基本的masquerad就好.
除非您還想定義NAT Loopback...