состояние NEW позволяет выделять только пакеты, открывающие новые соединения, состояние ESTABLISHED — пакеты, принадлежащие к установленным соединениям, состоянию RELATED соответствуют пакеты, открывающие новые соединения, логически связанные с уже установленными (например, соединение данных в пассивном режиме FTP). Состояние INVALID означает, что принадлежность пакета к соединению установить не удалось.
PS: Но если вы пользуйтесь, чем-то очень нехорошим, что работает с сетью на низком уровне, то оно может начать "глючно" работать.
Правила файрвола которые прописаны у меня. Так же буду признателен, если кто-нибудь ещё выложить свои или укажет на недочёты моих - (так как данная настройка идёт не для рабочей сети, а для дома, то архитектура "Разрешено всё, что не запрещено"
[arxont@Home] > ip firewall export compact
/ip firewall address-list
add address=192.168.254.0/24 comment="My LocalNet" list=local-address
add address=192.168.0.0/16 comment="Used for local communications within a priva\
te network as specified by RFC 1918" disabled=yes list=illegal-addr
add address=10.0.0.0/8 comment="Used for local communications within a private n\
etwork as specified by RFC 1918" list=illegal-addr
add address=172.16.0.0/12 comment="Used for local communications within a privat\
e network as specified by RFC 1918" list=illegal-addr
add address=169.254.0.0/16 comment="Used for autoconfiguration between two hosts\
\_on a single link when no IP address is otherwise specified, such as would \
have normally been retrieved from a DHCP server, as specified by RFC 5735" \
list=illegal-addr
add address=127.0.0.0/8 comment=\
"Used for loopback addresses to the local host, as specified by RFC 5735" \
list=illegal-addr
add address=224.0.0.0/3 comment=\
"Reserved for multicast assignments as specified in RFC 5771" list=\
illegal-addr
add address=198.18.0.0/15 comment="Used for testing of inter-network communicati\
ons between two separate subnets as specified in RFC 2544" list=\
illegal-addr
add address=192.0.2.0/24 comment="Assigned as TEST-NET in RFC 5737" list=\
illegal-addr
add address=100.0.0.0/6 comment="Used for communications between a Service Provi\
der and its subscribers when using a Carrier-grade NAT, as specified by RFC \
6598" list=illegal-addr
add address=0.0.0.0/7 comment="Used for default route" list=illegal-addr
add address=198.51.100.0/24 comment="Assigned as TEST-NET-2 in RFC 5737" list=\
illegal-addr
add address=203.0.113.0/24 comment="Assigned as TEST-NET-3 in RFC 5737" list=\
illegal-addr
add address=240.0.0.0/4 comment=\
"Reserved for future use, as specified by RFC 5735" list=illegal-addr
add address=192.0.0.0/29 comment=\
"Used for the DS-Lite transition mechanism as specified by RFC 6333" list=\
illegal-addr
add address=192.88.99.0/24 comment=\
"Used by 6to4 anycast relays as specified by RFC 3068" list=illegal-addr
/ip firewall filter
add action=drop chain=input comment="Dro invalid (input)" connection-state=\
invalid
add action=drop chain=forward comment="Dro invalid (Forward)" connection-state=\
invalid
add action=drop chain=forward comment="Drop bogons destination addresses" \
dst-address-list=illegal-addr dst-address-type=!local in-interface=LocalNet
add action=drop chain=input comment="Bogons block WAN" src-address-list=\
illegal-addr
add action=drop chain=forward comment=\
"Drop everything that goes from local interface but not from local address" \
in-interface=LocalNet src-address-list=!local-address
/ip firewall nat
add action=masquerade chain=srcnat
add action=dst-nat chain=dstnat dst-port=22 protocol=tcp to-addresses=\
192.168.254.123 to-ports=22
/ip firewall service-port
set ftp disabled=yes
set tftp disabled=yes
set irc disabled=yes
set h323 disabled=yes
set sip disabled=yes
set pptp disabled=yes
Сижу себе спокойно на форуме, топики мониторю на предмет чего либо интересного, общаюсь с юзерами. И натыкаюсь на такую фразу, загнавшую меня в ступор на минуту:
Курил мануалы весь вчерашний вечер и полный сегодняшний день, пока на просторах сети на богом забытом форуме на нашел запись %ether1 .. и блин все побежало ))).
По выходе из ступора начинаю активно пытать автора топика с ником KentAVr на предмет:
И что %ether1 этот иероглиф обозначает, где в нем смысл искать?
Привожу его ответ полностью, так как сказано было ясно и понятно, ни прибавить, ни убавить:
Допустим есть
интернет1 10.10.0.2/28 шлюз 10.10.0.1 метка inet1 порт ether1
интернет2 10.10.0.3/28 шлюз 10.10.0.1 метка inet2 порт ether2
Локалка1 192.168.0.0/24 шлюз 192.168.0.1 метка inet1 порт ether3
Локалка2 192.168.1.0/24 шлюз 192.168.1.1 метка inet2 порт ether4
Задача заставить ether3 ломиться только через ether1, а ether4 только через ether2.
Мы уже настроили интерфейсы, айпишники, и маркировку через манглы, осталось только занатить и отроутить.
И так идем классическим вариантом.
Натим нулевую сеть
/ip firewall nat add chain=srcnat action=masquerade out-interface=ether1 src-address=192.168.0.0/24
Тут не важно по метке или по интерфейсу, мне по интерфейсу нагляднее.
Добавляем роутинг
/ip route add gateway=10.10.0.1 routing-mark=inet1
В интерфейсе видим, что наша запись эстеблишед через ether1 .. что нам и нужно проверяем интернет - бежит.
Делаем все тоже самое для первой сетки.
/ip firewall nat add chain=srcnat action=masquerade out-interface=ether2 src-address=192.168.1.0/24
/ip route add gateway=10.10.0.1 routing-mark=inet2
Что видим ? Наша новая запись роутинга эстеблишна для ether2 , что нам и нужно, но при этом и первая запись роутинга тоже через ether2.
Другими словами микротик нас в независимости от меток, пошлет на ether2, но в этом случае нулевая сеть у нас перестанет ходить в интернет.
Другими словами единственное что нужно в этом случае явно указать микротику - это при какой метке какой интерфейс задействовать с каким шлюзом, что мы и делаем прописывая
роутингитаким образом
/ip route add gateway=10.10.0.1%ether1 routing-mark=inet1
/ip route add gateway=10.10.0.1%ether2 routing-mark=inet2
Теперь микротик знает, что трафик с меткой интернета 1 должен пойти через шлюз 10.10.0.1 по интерфейсу 1, а трафик с меткой интернета 2 должен пойти через ТОТЖЕ шлюз, но по интерфейсу 2.
Надеюсь я понятно объяснил.
Это частный случай, т.к. как правило у людей разные провайдеры и разные шлюзы, а когда шлюзы разные микротик сам все правильно эстеблишит.
Всё забывал написать, я ещё с месяц назад расковырял микротик мой, эмм, кажется 750 или751, в общем маленький коробочка с вайфаем и без антены, на предмет доработки и приклеивания к нему антены для увеличения радиуса покрытия/мощностисигнала, в общем там есть разъём похожий на обычный вафельный в буках на файвай картах, но к сожалению оказался с ним никак не совместим, проверял тут же, т.к. под рукой был раскуроченный нетбук, с паяльнегом я туда что то не полез, наверное потому что паялнега под руокй не было, и потому что ремонт в квартире меня пока интересует больше ...
Познаю mikrotik. Если провести аналогию то официальный мануал выглядит так: перед Вами автомобиль. В нем есть руль, педали, рычаг КПП. Руль можно крутить вправо-влево, педали можно нажимать-отпускать, рычаг можно дергать. Если правильно крутнуть руль, понажимать на педали и подергать рычаг, то можно нехило так выебнуться. Но выебываться учитесь сами. Там все просто..
