[研究所] MikroTik RouterOS 學習 (持續更新) (第629頁)

gfx

gfx
個人積分：1603分
文章編號：67898547

1603分

6281樓

2018-03-27 16:46

sppule wrote:
您說對了我沒定義out...(恕刪)

你是抓連接dvr的地址,假設地址是192.168.1.23 ,port:80,443,8000
我會這麼設:

因是目的是您的dvr ,所以port:80,443,8000也是設在dst(目的)的位置.

您會發現我沒設in-interface=pppoe-out1 ,
是因為同內網的連接不經過router ,所以router不設不會抓到192.168.1.0/24的地址.

但不含另一個內網網段,如:vpn的192.168.2.0/24...一樣會被抓到

所以若不想被截到內網的地址,有兩做法:
1.標上in-interface=pppoe-out1 ,這樣只會抓從網際網路進來的連線.

2.把內網地址標註例外,如:src-address=!192.168.0.0/16
這樣整個ClassB地址都會省缺不被截取.

NeverGiveUp!!

NeverGiveUp!!
個人積分：44512分
文章編號：68082278

44512分

6282樓

2018-04-10 7:07

v6.41.4

‍‍‍‍‍

人品是做人最好的底牌．

huooredeye

huooredeye
個人積分：0分
文章編號：68095230

0分

6283樓

2018-04-11 1:12

各位神人大大您好：

現在正在做一個實驗

就是希望所有使用者不管在外網的那裡訪問rourteros其中一個PORT上綁的外網ip(圖中的10.10.10.1)

routeros能將外網所有的流量請求的來源ip都轉換為router另一個port上綁的ip(圖中172.30.100.131)

然後將所有的流量都轉送從圖中172.30.100.131這個port送到直接的另一台server的ip172.30.100.129

讓172.30.100.129這台server收到的所有流量請求來源ip都變成172.30.100.131

進而向外網提供服務

我這邊使用了dstnat還有natmap都無法成功的讓172.30.100.129這台server收到的所有流量請求來源ip都變成172.30.100.131

不知是否有神人曾經試過這種流量轉送換來源ip的功能

gfx

gfx
個人積分：1603分
文章編號：68095335

1603分

6284樓

2018-04-11 1:28

huooredeye wrote:
各位神人大大您好：...(恕刪)

這很容易啊,
直接用dst-nat將dst-address=10.10.10.1映射至to-addresses=172.30.100.129就好.

您說dstnat與natmap都無法映射,
您網路應該是使用pppoe撥號,而非"真"固定制ip,不然不會有natmap無法作動的問題.

至於dstnat問題應該是路由標記沒做,我猜10.10.10.1這個地址應該是連外網都ping不到,
更徨論映射至172.30.100.129去了.

sppule

sppule
個人積分：2分
文章編號：68104286

2分

6285樓

2018-04-11 17:27

gfx wrote:
:local date [/system clock get date]
:local mm [:find 0,jan,feb,mar,apr,may,jun,jul,aug,sep,oct,nov,dec [:pick $date 0 3]]
:if ($mm＜10) do={:set mm "0$mm"}
:set date "$mm$[:pick $date 3 11]"...(恕刪)

請問gfx大大
1.如果我想要把時間格式改成107年XX月XX日會很麻煩嗎??

2.找出作亂的 DHCP Server 亂發IP 有辦法在email內秀出日期時間、IP、MAC嗎??

gfx

gfx
個人積分：1603分
文章編號：68105000

1603分

6286樓

2018-04-11 18:23

sppule wrote:
請問gfx大大1....(恕刪)

1.格式改成107年XX月XX日

將這行code
:set date "$mm$[:pick $date 3 11]"

置換成這行
:set date "$([:pick $date 7 11]-1911)$[:tostr "年"]$mm$[:tostr "月"]$[:pick $date 4 6]$[:tostr "日"]"

2.DHCP Server亂發IP我沒遇過,發生後是怎樣的狀況,能具體說明嗎？

tsengleoo

tsengleoo
個人積分：79分
文章編號：68105923

79分

6287樓

2018-04-11 19:52

huooredeye wrote:
各位神人大大您好：...(恕刪)

沒錯的話可獨立一個bridge，並綁定該PORT
並在此bridge上指定你要的IP，並對外指定此bridge的IP為masqxxxx的SRCNAT
應可達成你的需求了

sppule

sppule
個人積分：2分
文章編號：68106836

2分

6288樓

2018-04-11 21:26

gfx wrote:
2.DHCP Server亂發IP我沒遇過,發生後是怎樣的狀況,能具體說明嗎？(恕刪)

抱歉沒說明用意....
我的意思是說在區域網中有人帶路由器亂接，造成同一個區域網中有兩台DHCP在發IP，有辦法在email內秀出非法DHCP接入日期時間、IP、MAC嗎??

gfx

gfx
個人積分：1603分
文章編號：68107434

1603分

6289樓

2018-04-11 22:15

sppule wrote:
抱歉沒說明用意.....(恕刪)

當dhcp用戶端開機或者是重新啟動網路卡時,
用戶端主機會發送出搜尋DHCP伺服器的UDP封包給所有物理網段內的電腦.
此封包的目標IP會是255.255.255.255

所以理論上只要不讓dhcp-server發生作用,也就是先攔截用戶端目標地址255.255.255.255
這樣誰是dhcp-server我想應該不再重要吧...

在/ip firewall raw新增(這不影響ROS的dhcp-server)：

NeverGiveUp!!

NeverGiveUp!!
個人積分：44512分
文章編號：68108249

44512分

6290樓

2018-04-11 23:23

好主意．已列入．謝啦！

‍‍‍‍‍

gfx wrote:
當dhcp用戶端開機或者是重新啟動網路卡時,
用戶端主機會發送出搜尋DHCP伺服器的UDP封包給所有物理網段內的電腦.
此封包的目標IP會是255.255.255.255
所以理論上只要不讓dhcp-server發生作用,也就是先攔截用戶端目標地址255.255.255.255
這樣誰是dhcp-server我想應該不再重要吧...
在/ip firewall raw新增(這不影響ROS的dhcp-server)：

人品是做人最好的底牌．