[研究所] MikroTik RouterOS 學習 (持續更新) (第386頁)

gfx
個人積分：1603分
文章編號：57144928

1603分

3851樓

2015-08-21 20:50

id.2才是我說的開放
id.3則是無條件封鎖....

我的建議是:舊設定選擇捨棄不用，換小弟準備的firewall filter試試.
－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－
首先在/ip firewall address-list建立All-Lan清單:

建立DNS-Server清單:

然後將下面code一次複製全部,然後一口氣全部貼到命令欄進行匯入.

/ip firewall filter
add action=drop chain=forward comment="\\B8T\\A5\\CEPort" dst-port=22,23 \
protocol=tcp src-address-list=!All-Lan
add chain=input comment="\\A4\\B9\\B3\\\\\\B0\\CF\\BA\\F4\\B8\\CB\\B8m" src-address=1.1.1.1
add chain=input src-address-list=All-Lan
add action=drop chain=input comment="DoS\\A9\\DA\\B5\\B4\\AAA\\B0\\C8\\A7\\F0\\C0\\BB" \
connection-limit=10,32 protocol=tcp src-port=!80
add action=drop chain=input comment="\\A8\\BE\\A4\\EE\\B3Q\\B1\\BD\\BA\\CB Port" protocol=tcp \
src-address-list="port scanners"
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w \
chain=input protocol=tcp psd=21,3s,3,1
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w \
chain=input protocol=tcp tcp-flags=fin,!syn,!rst,!psh,!ack,!urg
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w \
chain=input protocol=tcp tcp-flags=fin,syn
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w \
chain=input protocol=tcp tcp-flags=syn,rst
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w \
chain=input protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w \
chain=input protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w \
chain=input protocol=tcp tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg
add chain=input comment="\\A4\\B9\\B3\\\\VPN" dst-port=1723 protocol=tcp
add chain=input protocol=gre
add chain=input dst-port=1194 protocol=tcp
add chain=input dst-port=443 protocol=tcp
add chain=input dst-port=1701,500,4500 protocol=udp
add chain=input protocol=ipencap
add chain=input protocol=ipsec-esp
add chain=input protocol=tcp src-port=1723
add chain=input protocol=tcp src-port=1194
add action=add-dst-to-address-list address-list=a.test address-list-timeout=1s chain=output \
comment="\\A4\\B9\\B3\\\\ICMP\\A6^\\C0\\B3" dst-address-list=!All-Lan protocol=icmp
add chain=input protocol=icmp src-address-list=a.test
add chain=input comment="\\A4\\B9\\B3\\\\DNS" src-address-list=DNS-Server
add chain=input comment="\\A4\\B9\\B3\\\\ROS-Cloud\\A6\\F8\\AAA\\BE\\B9" src-address=81.198.87.240
add chain=input comment="\\A4\\B9\\B3\\\\Winbox\\B3s\\BDu" dst-port=8291,8728 protocol=tcp
add chain=input comment="\\A4\\B9\\B3\\\\\\B6l\\A5\\F3\\A6\\F8\\AAA\\BE\\B9" protocol=tcp src-port=25,587
add chain=input comment="\\A4\\B9\\B3\\\\WWW\\A6\\F8\\AAA\\BE\\B9" protocol=tcp src-port=80,443
add chain=input comment="\\A4\\B9\\B3\\\\\\AE\\C9\\B6\\A1\\A6\\F8\\AAA\\BE\\B9" dst-port=123 \
protocol=udp src-port=123
add action=drop chain=input comment="\\A5\\E1\\B1\\F3\\A5\\BC\\A9w\\B8q\\AA\\BA\\AB\\CA\\A5]"

匯入後即下:

web-proxy / pptp /l2tp-ipsec的地方不動,
其它vpn您可能使用的port不同,依個人情形做修改即可.

danies0207

danies0207
個人積分：8分
文章編號：57164075

8分

3852樓

2015-08-23 14:44

gfx wrote:
id.2才是我說的...(恕刪)

wow 謝謝gfx大分享的rule~
我稍後試了再向你回報!!

不過你說我貼的那個0-5的六條規則~
id2這條
chain=input action=drop in-interface=ether1-gateway log=no log-prefix=""
才是開放????
是指開放哪個部份???

gfx

gfx
個人積分：1603分
文章編號：57164514

1603分

3853樓

2015-08-23 15:24

danies0207 wrote:
wow 謝謝gfx大...(恕刪)

您給的圖是不是換過?
我記得是一張大圖,filter只在左下角,id順序也與現在不一樣.

不管了,先解釋chain有分input 與forward.
input是指分享器 ,forward才是對電腦.

也就目前只管電腦,不理分享器,
所以chain=input先暫時"無視" ,只理chain=forward的部份.

而目前chain=forward的部份最有影響可能是id.5

把id.5關閉試試^^

您應該有發覺id1&2 與id3&5是做相同的事,只有作用的chain(分享器or電腦)不同的.

danies0207

danies0207
個人積分：8分
文章編號：57165140

8分

3854樓

2015-08-23 16:28

gfx wrote:
您給的圖是不是換過...(恕刪)

gfx大,剛試用了您的filter
下載還是失敗,我想問題還是出在cable環境底下~
很詭異的~我把所有filter拿掉~
下載仍是失敗,
但加上一條chain=input action=drop in-interface=ether1-gateway log=no log-prefix=""
就能正常下載了 =.=
有點吐血.....

哈哈^^ 還是感謝你的協助!!

gfx

gfx
個人積分：1603分
文章編號：57166148

1603分

3855樓

2015-08-23 18:05

danies0207 wrote:
gfx大,剛試用了...(恕刪)

您目前是完全封閉Router網際網路,只留電腦部份.
再次強調Router與電腦的chain是不同.Router是input ,電腦則是forward.

我不知道這樣做法該不該,
但確定的是Router大部份功能也會跟著被禁,如:cloud/ntp/dns/vpn/proxy之類的.

danies0207

danies0207
個人積分：8分
文章編號：57167313

8分

3856樓

2015-08-23 19:56

gfx wrote:
您目前是完全封閉Router...(恕刪)

對呀,我理解了我現在的行為是完全封閉了Router網際網路,
但一定要這樣才能正常下載,所以我才感到很困惑!!

gfx

gfx
個人積分：1603分
文章編號：57167733

1603分

3857樓

2015-08-23 20:30

danies0207 wrote:
對呀,我理解了我現...(恕刪)

不然您開個小洞口做測試^^
新增chain=input protocol=tcp src-port="80,443" action=accept

建好後拉到"奇異規則"的上方,代表src-port="80,443"開放,略過下面的封鎖.
試試xuite空間還能不能正常下載....

宅就是顧家

宅就是顧家
個人積分：116分
文章編號：57203232

116分

3858樓

2015-08-26 8:59

請問各位我想要多台RB850GX2 做策略路由大概就是 A需要連B的server時使用PPTP連過去

目前是實做成功了，但有個小問題就是PPTP會一直處於連線狀態，有方法可以有需要連線時才透過PPTP 平常是不連接的嗎?

pctine

pctine
個人積分：5084分
文章編號：57204434

5084分

樓主

2015-08-26 10:10

宅就是顧家 wrote:
目前是實做成功了，但有個小問題就是PPTP會一直處於連線狀態，有方法可以有需要連線時才透過PPTP 平常是不連接的嗎?...(恕刪)

設定 dial on demand & keepalive timeout.

FB: Pctine

gfx

gfx
個人積分：1603分
文章編號：57205421

1603分

3860樓

2015-08-26 11:13

宅就是顧家 wrote:
請問各位我想...(恕刪)

1.>若要做到即時,也就是需要時才使用PPTP連線..
首先得知道您連那些地址才需透過PPTP.

2.>監視這些地址,當您的電腦只要對這些地址發出syn sent時,立即呼叫PPTP-Client做連接.

3.>PPTP-Server設keepalive timeout ,如3分鐘內PPTP-Server未再接受Client的syn sent ,
就將PPTP-Client斷開.