[研究所] MikroTik RouterOS 學習 (持續更新) (第703頁)

NeverGiveUp!!

NeverGiveUp!!
個人積分：44507分
文章編號：73814839

44507分

7021樓

2019-07-04 10:55

‍‍‍‍‍

DandelionJack wrote:
好文送你五分。...(恕刪)

人品是做人最好的底牌．

MR喬治

MR喬治
個人積分：5分
文章編號：73823010

5分

7022樓

2019-07-04 21:34

謝謝建議，下次問題發生時我會嘗試你的方法

NeverGiveUp!!

NeverGiveUp!!
個人積分：44507分
文章編號：73846791

44507分

7023樓

2019-07-07 1:23

已參考．

‍‍‍‍‍

gfx wrote:
若是個人server，那樓上的設置是有助益的。
若是router本身的功能，您再複製相同的設定，但chain由forward換成output就好。

人品是做人最好的底牌．

MR喬治

MR喬治
個人積分：5分
文章編號：73854945

5分

7024樓

2019-07-07 22:57

gfx wrote:您的問題應該是連的...(恕刪)

今天問題又再發生了，我嘗試將fasttrack給停用，並將imcp額外加上accept output

從log和firewall rule都有看到封包進來router也有回應，但位於internet的裝置都沒有收到回應，當然vpn或是web console也都是連不進來的狀態，另外嘗試切換到不同的pppoe public ip也是沒有改善

再沒有重開機的情況下，我將fasttrack給啟用並恢復pppoe 固定public ip，這時候問題又突然消失了，這到底是fasttrack的問題還是中華的問題??

以下是我預設的filter rule

Flags: X - disabled, I - invalid, D - dynamic
0 D ;;; special dummy rule to show fasttrack counters
chain=forward action=passthrough
1 ;;; IPv4 firewall to a router -> default configuration
chain=input action=accept connection-state=established,related log=no
log-prefix=""
2 ;;; IPv4 firewall to a router -> allow to access router
chain=input action=accept src-address-list=allowed_to_router log=no
log-prefix=""
3 ;;; IPv4 firewall to a router -> allow web access
chain=input action=accept protocol=tcp dst-port=444 log=yes
log-prefix="Web444"
4 ;;; IPv4 firewall to a router -> allow web access
chain=output action=accept protocol=tcp src-port=444 log=yes
log-prefix="Web444"
5 ;;; IPv4 firewall to a router -> allow WinBox from VPN
chain=input action=accept protocol=tcp src-address=192.168.99.0/28
dst-port=8291 log=no log-prefix=""
6 X ;;; PPTP
chain=input action=accept protocol=tcp in-interface=HinetPPPoE
dst-port=1723 log=no log-prefix=""
7 X ;;; PPTP
chain=input action=accept protocol=gre in-interface=HinetPPPoE log=no
log-prefix=""
8 ;;; L2TP
chain=input action=accept protocol=udp dst-port=1701,500,4500 log=yes
log-prefix="L2TP"
9 ;;; L2TP
chain=input action=accept protocol=ipsec-esp log=yes log-prefix="L2TP"
10 chain=input action=accept protocol=ipsec-ah log=yes log-prefix="L2TP"
11 ;;; SSTP
chain=input action=accept protocol=tcp in-interface=HinetPPPoE
dst-port=443 log=yes log-prefix="SSTP"
12 ;;; OpenVPN
chain=input action=accept protocol=tcp in-interface=HinetPPPoE
dst-port=1443 log=yes log-prefix="OpenVPN"
13 ;;; IPv4 firewall to a router -> enable ICMP access
chain=input action=accept protocol=icmp log=yes log-prefix="ICMP_in"
14 ;;; IPv4 firewall to a router -> enable ICMP access
chain=output action=accept protocol=icmp log=yes log-prefix="ICMP_out"
15 chain=input action=drop protocol=udp in-interface=HinetPPPoE dst-port=53
log=yes log-prefix=""
16 chain=input action=drop protocol=tcp src-address-list=""
in-interface=HinetPPPoE dst-port=53 log=yes log-prefix=""
17 ;;; IPv4 firewall to a router -> drop everything else
chain=input action=drop log=yes log-prefix=""
18 ;;; IPv4 firewall for clients -> FastTrack
chain=forward action=fasttrack-connection
connection-state=established,related log=no log-prefix=""
19 ;;; IPv4 firewall for clients -> Established, Related
chain=forward action=accept connection-state=established,related log=no
log-prefix=""
20 ;;; block IOS update
chain=forward action=drop layer7-protocol=IOS src-address=0.0.0.0/0
log=no log-prefix=""
21 ;;; IPv4 firewall for clients -> Drop invalid
chain=forward action=drop connection-state=invalid log=no
log-prefix="invalid"
22 ;;; IPv4 firewall for clients -> Drop tries to reach not public addresses >
m LAN
chain=forward action=drop dst-address-list=not_in_internet
in-interface=bridge-local out-interface=!bridge-local log=no
log-prefix="!public_from_LAN"
23 ;;; IPv4 firewall for clients -> Drop incoming packets that are not NATted
chain=forward action=drop connection-state=new
connection-nat-state=!dstnat in-interface=ether1 log=no log-prefix="!NAT"
24 ;;; IPv4 firewall for clients -> Drop incoming from internet which is not >
lic IP
chain=forward action=drop src-address-list=not_in_internet
in-interface=ether1 log=no log-prefix="!public"
25 ;;; IPv4 firewall for clients -> Drop packets from LAN that do not have LA>
P
chain=forward action=drop src-address=!192.168.88.0/24
in-interface=bridge-local log=no log-prefix="LAN_!LAN"

gfx

gfx
個人積分：1603分
文章編號：73855249

1603分

7025樓

2019-07-07 23:29

MR喬治 wrote:
今天問題又再發生了，我嘗試將fasttrack給停用，並將imcp額外加上accept output

這筆rule一點意義也沒有吧...
firewall filter頁面又沒有其它chain=output的項目，是不會有連動的作用的。

我猜您會不會弄錯方向？
change mss是在/ip firewall mangle設置，與fasttrack是無關的。

另外還有的是fasttrack是靠switch chip轉發，會挑機器並非所有的機器都支援。
Manual:IP/Fasttrack

若您的機器非是列表上，尤其是安裝RouterOS的x86電腦，是不會有任何作用的。
甚至會因此丟失封包，要注意啊

MR喬治

MR喬治
個人積分：5分
文章編號：73862180

5分

7026樓

2019-07-08 14:32

gfx wrote:
這筆rule一點意...(恕刪)

您好

我有加上change mss的設定

我的機器是RB2011所以是有支援fasttrack

您之前建議在問題發生後將input複製一份轉成output，所以我才額外新增out icmp rule，但您說沒有意義的意思是什麼呢?
是要將所有input rule都轉成output才會生效的意思嗎?

NeverGiveUp!!

NeverGiveUp!!
個人積分：44507分
文章編號：73863520

44507分

7027樓

2019-07-08 16:16

ＷｉｎＢｏｘ３．１９版出來囉！

人品是做人最好的底牌．

gfx

gfx
個人積分：1603分
文章編號：73863992

1603分

7028樓

2019-07-08 16:51

MR喬治 wrote:
您好我有加上change...(恕刪)

我是說firewall filter的項目。
首先您得先懂得action=accept的作用。

action=accept就有如霸王條款，
若您將此規擇的項目放在排序0的位置，只要有相同chain並細節有相關重疊的都會"無效"。

若此項目是擺在3的位置，但2的位置有相同的chain。
因firewall是依先進先出在運作，位於3的action=accept就無法影響2，就這樣。

而我說您在firewall filter新增chain=output action=accept沒意義，
是因為您chain=output的僅止一筆，並沒有其它同為chain=output，
action=accept根本沒有可影響發揮的餘地。

因為它作用不到其它，當然刪除也不會有任何影響。

騎磨姿勢佳

騎磨姿勢佳
個人積分：65分
文章編號：73873134

65分

7029樓

2019-07-09 11:19

小弟有一台伺服器，因為前人沒有規劃防火牆
剛好這台server沒有防護，某使用單位的人又想知道
我們對外頻寬到底夠不夠，連線數有多少，瞬間最大流量多少

這台伺服器用兩張網卡

一張用在對外真實IP，一張串DMZ抓會員資料

如下圖

目前想在這台對外架上一台rb750gr3，先不考慮防火牆設定

如果我不動server上兩張網卡設定的ip上，我能用什麼方法做

另外問mikrotik 沒有transparent mode嗎？

gfx

gfx
個人積分：1603分
文章編號：73874104

1603分

7030樓

2019-07-09 12:21

騎磨姿勢佳 wrote:
小弟有一台伺服器，...(恕刪)

您是想讓pc可直接取得public ip嗎?
可以的，但電腦需接在rb750gr3上。