[研究所] MikroTik RouterOS 學習 (持續更新) (第69頁)

Gemma
個人積分：4分
文章編號：44066025

4分

681樓

2013-05-30 1:55

呵！自己需求的已經差不多了，就開始來研究其他的功能，說不定會發掘一些新的用法，不然不浪費了 RouterOS 嗎？
言歸正傳
理論上在同一個 LAN 內應該可以用 MAC Address 連上
winbox 其實是有掃瞄到 RouterOS
而且我還發現一件事情，建立 EoIP Tunnel 之前與之後，winbox 掃瞄出來同一台 RB450G 的 Mac Address 居然不一樣
然後我 Google 查一下，找到這篇
http://wiki.mikrotik.com/wiki/Securing_New_RouterOs_Router
特別在 firewall 做了這樣的規則
add chain=services protocol=udp dst-port=20561 action=accept comment="allow MACwinbox " disabled=no
現在是搞不懂這中間的關係，想說自己對這個畢竟是外行，想問問是否有人可以釋疑

pctine wrote:
果真是好奇寶寶, 可...(恕刪)

gfx

gfx
個人積分：1603分
文章編號：44066083

1603分

682樓

2013-05-30 2:02

您好,我想釐清postrouting與prerouting

根據鳥哥的私房菜,prerouting是用在路由前;postrouting是用在路由後

我對NAS做global-out需用postrouting標記連線,但我不是很確定有沒有錯滾來滾去

NAS IP:192.168.1.92
我想將外網的TCP 137-139,445,55536-55543,5000,5005,9025-9040以外的連線標記為P2P,
依圖我的設定有錯嗎? 麻煩您幫我檢查一下,謝謝!

pctine

pctine
個人積分：5084分
文章編號：44068512

5084分

樓主

2013-05-30 9:26

gfx wrote:
我想將外網的TCP 137-139,445,55536-55543,5000,5005,9025-9040以外的連線標記為P2P,
依圖我的設定有錯嗎? 麻煩您幫我檢查一下,謝謝!...(恕刪)

題外話, 這些標記出來的封包都屬於 P2P 嗎?　可能會有很多漏網之漁吧. 以你現有的設定, 如果內部還有架站, 誤判的機率更高.

簡單一點的做法, 針對一些較容易分類的 protocol type (http,ftp,...) 來做或許會比較簡單些.

FB: Pctine

pctine

pctine
個人積分：5084分
文章編號：44068786

5084分

樓主

2013-05-30 9:37

Gemma wrote:
然後我 Google 查一下，找到這篇
http://wiki.mikrotik.com/wiki/Securing_New_RouterOs_Router
特別在 firewall 做了這樣的規則
add chain=services protocol=udp dst-port=20561 action=accept comment="allow MACwinbox " disabled=no
現在是搞不懂這中間的關係，想說自己對這個畢竟是外行，想問問是否有人可以釋疑...(恕刪)

你提的這篇文章和 EoIP 並沒有很大的關係, 它只是解說如何加強 RouterOS 安全的一些設定, 概念就是只允許特定的 service, 其他一律 drop, 所以它才會設了一堆 allow 的 services, 最後如果沒有 match 的一律 drop 掉.

FB: Pctine

gfx

gfx
個人積分：1603分
文章編號：44069514

1603分

685樓

2013-05-30 10:10

pctine wrote:
題外話, 這些標記出...(恕刪)

所以...我的postrouting用法是對是錯?

JQJQ

JQJQ
個人積分：918分
文章編號：44071790

918分

686樓

2013-05-30 11:39

p2p 有效控管，得使用 Layer 7 ( 特徵碼 ) ，非常有效但耗資源，
單純針對埠的管理其實有限。市售頻寬管理器有內建 p2p 特徵碼，
價格不斐。

官網提供普遍常用的特徵碼，只不過有版本的不同

... 我不太會用，編寫格式好麻煩

套用官方現成的也只能玩玩，畢竟官方沒提供
p2p的相關特徵碼。

pctine

pctine
個人積分：5084分
文章編號：44073218

5084分

樓主

2013-05-30 12:39

JQJQ wrote:
畢竟官方沒提供
p2p的相關特徵碼。...(恕刪)

L7filter 可以參考 sourceforge.net 上面的資料. L7-filter

FB: Pctine

Simon_shih

Simon_shih
個人積分：688分
文章編號：44078628

688分

688樓

2013-05-30 16:48

pctine wrote:
L7filter 可以參考 sourceforge.net 上面的資料...(恕刪)

我的經驗是對BT無效. BT無加密可以在IP內看到BT的字眼, 但加密後的BT從第1個byte開始就是亂碼.
(Router OS可以開啓抓包功能, 原則上你看不出它是BT,就寫不出對應的filter條件 )

你可以去看你的BT軟體, 它會顯示目前的連線是否加密, 我的經驗大部份都是加密過的. 因此雖然很麻煩, 我還是用白名單的方法把有用的東西一條一條key進去, 黑名單不可行也!

如果有人有成功辨識出BT,歡迎指教.

http://picasaweb.google.com/HsiuChe.Shih

derliang

derliang
個人積分：1143分
文章編號：44087402

1143分

689樓

2013-05-31 0:31

pctine wrote:
題外話, 這些標記出來的封包都屬於 P2P 嗎?　可能會有很多漏網之漁吧. 以你現有的設定, 如果內部還有架站, 誤判的機率更高...(恕刪)

誤判應該是還好，因為有先指定Src. address了，所以只會針對該Src. address來做標記。
建議chain改為forward，另外in與out的介面不用指定。

還有一點要注意，因為內部的NAS是當Server使用，所以
外部對內部的NAS的話，應該是用：prerouting+Dst.Port。
內部NAS對外部的話，應該是用：postrouting+Src.Port。
依照小弟之前分享的去做應該就ok了。

irsjx2vxo3ne3k84dr1dz4,r4pe8bez3/4ne3bq4bew2j92gea jx4hq me-2d8 e3hy4hi2ty k84!

gfx

gfx
個人積分：1603分
文章編號：44126694

1603分

690樓

2013-06-01 23:44

derliang wrote:
誤判應該是還好，因為...(恕刪)

我聽您的建議修改標記本來以為到Queue設定global-out,就只會對NAS上載做設限.
結果變成對上/下載Total做limit限速.. orz

(怎歸類成global-total ?)