[研究所] MikroTik RouterOS 學習 (持續更新) (第692頁)

tenz9596

tenz9596
個人積分：11009分
文章編號：72783383

11009分

6911樓

2019-04-15 2:12

gfx wrote:
如果小烏龜在這網路...(恕刪)

弄好了，搞好久

!

數據機那也不用設，因為全部都是同網域

只要改一個設定就好!

pppoe-out1改橋接

billese10

billese10
個人積分：974分
文章編號：72795407

974分

6912樓

2019-04-15 23:48

我今天突然網路瞬斷，去看log 發現我的eth2 那塊loop

處理方式interfce ethr2 loop protect 開 on
一開始沒有什麼大問題，重開router os eth2直接port down

小弟想問大大們~~遇到這問題要怎麼處理~
我看網卡mac是本身eth2問題跟其他mac無關

本身nat有設定nat loopback

tiaol88

tiaol88
個人積分：14分
文章編號：72807175

14分

6913樓

2019-04-16 21:09

pctine wrote:
前幾週經由網友介紹購...(恕刪)

最近入手一台RB760iGS
請問有沒有可以記錄PPPOE撥接到的IP到SD卡的腳本嗎
還有 SNTP last adjustment 這一格時間越來越大是正常的嗎

tenz9596

tenz9596
個人積分：11009分
文章編號：72809384

11009分

6914樓

2019-04-17 1:03

tiaol88 wrote:
最近入手一台RB760iGS...(恕刪)

system logging

建立新的LOG to disk

files 會產生 log0

system disk

是否要格式化記憶卡或隨身碟

New Terminal

輸入/system logging action add name=microSD target=disk disk-file-name=<directory of microSD>/log

USB則/system logging action add name=Usb target=disk disk-file-name=disk1/log

最後system logging，把建立好的Rules 和 Actions，進入設定改為USB或microSD

victor10

victor10
個人積分：57分
文章編號：72812913

57分

6915樓

2019-04-17 11:01

各位前輩好

小弟最近也開始買台router os的機器來學習，目前有個關於NAT的疑問想請教。
小弟的nat裡有一條如下，

/ip firewall nat
chain=srcnat action=masquerade src-address=192.168.1.0/24 log=no
log-prefix=""

就我的理解，這條可以讓我區網的電腦透過換掉src ip(192.168.1.x)成router 的global ip連到internet。而我的區網裡有台NAS，在上面這條沒有紅色字體的部份(即src-address)時，從internet連進我nas的ip，都是router的ip(192.168.1.1)，例如從公司的電腦透過ftp連回家裡的nas，我nas上看到的客戶端ip都是192.168.1.1，但加上紅色字體部份後，我的nas就能夠看到客戶端的真實ip。

小弟不理解的是，這條chain=srcnat不就是封包從local network往internet送時，才會用的到嗎? 為何我加上了src-address後，我nas上卻又能看到客戶端的真實ip呢??

gfx

gfx
個人積分：1603分
文章編號：72814207

1603分

6916樓

2019-04-17 12:24

victor10 wrote:
各位前輩好小弟最近...(恕刪)

chain=srcnat => 離開路由器
chain=dstnat => 進入路由器

action=src-nat => 將來源地址偽裝成指定地址
action=dst-nat => 將目地地址偽裝成指定地址
action=masquerade => 將來源地址偽裝成本地地址(路由器)
action=redirect => 將目的地址偽裝成本地地址(路由器)

src-address => 來源地址
dst-address => 目地地址
in-interface => 來源端口
out-interface => 目地端口

所以...
chain=srcnat action=masquerade src-address=192.168.1.0/24
即為：將來源192.168.1.0/24連外(離開路由器)的ip，偽裝成路由器(本地)地址。

但這樣列會有很大問題，若路由器建了另一個網段192.168.2.0/24
因上面的規則命192.168.1.0/24連出都要先偽裝成路由器地址，
這樣192.168.2.0/24查連線進來的地址只會有路由器的地址，而非192.168.1.x的地址。

所以偽裝應該這樣做才算是佳:
方案1:
chain=srcnat action=masquerade src-address=192.168.1.0/24 dst-address=!192.168.2.0/24
將目地192.168.2.0/24設為例外，這樣連接這個網段時就不會再偽裝成路由器ip。

方案2:
chain=srcnat action=masquerade src-address=192.168.1.0/24 out-interface=pppoe-out1
當目地出口為pppoe-out1(網際網路)，才將來源192.168.1.0/24的ip偽裝成路由器地址。

以上是對來源地址進行偽裝(action=src-nat)；
反推對目的地址(action=dst-nat)進行偽裝，相信也很容易進行思考。

tiaol88

tiaol88
個人積分：14分
文章編號：72819164

14分

6917樓

2019-04-17 18:23

tenz9596 wrote:
system logging...(恕刪)

https://i.imgur.com/KPOflCD.png
請問一下沒有出現microSD 的選項我是不是有地方設定錯
log.0.txt 有出現

hschang

hschang
個人積分：368分
文章編號：72820708

368分

6918樓

2019-04-17 21:10

billese10 wrote:
我今天突然網路瞬斷 ...(恕刪)

檢查一下，網路上是否有兩條線都接到SWITCH造成

billese10

billese10
個人積分：974分
文章編號：72822876

974分

6919樓

2019-04-18 0:09

hschang wrote:

檢查一下，網路...(恕刪)

檢查過了，在router os後面有分接一條L2 Switch ，我有嘗試把router os 重置倒回去之前備份config ，剛才也遇到loop....

victor10

victor10
個人積分：57分
文章編號：72826495

57分

6920樓

2019-04-18 10:59

gfx wrote:
chain=srcnat...(恕刪)

感謝大大。
稍微消化一下來理解，所以若沒有指定src address或其它條件的話，如下
/ip firewall nat
chain=srcnat action=masquerade log=no log-prefix=""

這樣就會對所有封包(不管LAN to Internet或Internet to LAN)的封包進行偽裝，若我加上src-address，如下
/ip firewall nat
chain=srcnat action=masquerade src-address=192.168.1.0/24 log=no log-prefix=""

這樣就只會對192.168.1.0/24這個網段做偽裝，從internet連進我NAS的IP就不會偽裝，所以我才看的到連進我NAS裡客戶端的實體IP，這樣的理解是對的嗎?

另外我似乎對於chain=srcnat、chain=dstnat 有些誤解，我本來以為從internet進來到LAN的封包都是dstnat才會作用，然後srcnat都是LAN到internet的封包才會作用，但從gfx大的解釋加上我對上面的理解，不管封包是從internet或是LAN過來，只要進入router的封包都會作用在dstnat，這樣的理解是否正確呢??