Toto je původní verze internetového fóra ISPforum.cz do února 2020 bez možnosti registrace nových uživatelů. Aktivní verzi fóra naleznete na adrese https://telekomunikace.cz

Pravidlo pro povolení komunikace z jedné IP adresy

RADIUS, CAPsMAN, The Dude, AirControl, UniFi, Zabbix atd.
Odpovědět
Striker
Příspěvky: 692
Registrován: 11 years ago

Pravidlo pro povolení komunikace z jedné IP adresy

Příspěvekod Striker » 9 years ago

Zdravím,

chci se zeptat, kam bych měl vložit do nastavení routeru, aby povolil "internet" z jedné IP adresy za NATem. Konkrétně tento příkaz:
/ip firewall filter add chain=forward src-address=192.168.8.54 action=accept
Pokud je tedy dobře.. :D

V nastavení routeru jsou jednotlivě tyto možnosti:
Úvodní FW - default:
Úvodní FW - na routeru:
Závěrečný FW - default:
Závěrečný FW - na routeru:
Úvodní mangle:
Závěrečný mangle:
Úvodní FW NAT - default:
Úvodní FW NAT - na routeru:
Závěrečný FW NAT - default:
Závěrečný FW NAT - na routeru:

Mám ale obavu, že tam to asi ani nepatří, jelikož podle wiki jde nastavit pouze protokoly a ostatní příkazy jsou ignorovány. Navíc zde je sice FW i NAT ale ne už Filter.

Popřípadě kam pravidlo vložit ručně přímo na MikroTiku?

Omlouvám se jestli je to stupidní dotaz nebo je pravidlo špatně ale s MKT FW nemám moc zkušeností..
0 x
Nahoru
Uživatelský avatar
eKrajnak
Příspěvky: 420
Registrován: 11 years ago
Bydliště: Levoča, SK
Kontaktovat uživatele:
Kontaktovat uživatele eKrajnak

Příspěvekod eKrajnak » 9 years ago

1) ak tá adresa je už za NATom, tak to nespravíš
2) inak normálne ten príkaz zadaj do terminálu, odporúčam to dať na vrch
3) v prípade ak tvoja potreba je blokovať všetko okrem ten jednej adresy, tak potom:

Kód: Vybrat vše

/ip firewall filter add chain=forward src-address=!192.168.8.54 action=drop
0 x
Študent, programátor, sieťar ... #ccna_certified

Blažej Krajňák
Nahoru
Striker
Příspěvky: 692
Registrován: 11 years ago

Příspěvekod Striker » 9 years ago

No já měl právě za to, že jelikož dokáže ISP Admin na routeru udělat pravidlo, že teda povolí komunikaci na IP adrese, kterou zadáš klientovi, tak dokáže i vymezit jednu IP adresu ručně bez přidělení Služby klientovi.Tudíž něco jako vyhrazenou IP adresu.
Přes terminál jsem zkoušel snad všechny možnosti umístění toho pravidla ale nic nepomohlo, stále bez internetu jen na síti se dostanu všude.
Ten příkaz s tím dropováním už sám dělá ISP Admin, že dropuje všechno co není zadaný v ISP Adminu.
Jde mi prostě o to, že takhle je pro mě strašně zbytečně složitý měření u zákazníka. Když vyjedu a zapomenu si přehodit službu na ten daný router, kde budu měřit tak musím volat kolegovi aby mi to přehodil.. Jinak se na to nedostanu odtam.
No nic bude to tak asi muset zůstat :(
Každopádně díky za info ;)
0 x
Nahoru
Striker
Příspěvky: 692
Registrován: 11 years ago

Příspěvekod Striker » 9 years ago

Někdo mi tady radil tohle:
ISPADMIN v Nastavení -> Syst. nastavení -> Mikrotik a v prvním řádku mikrotik_default_fw si povolim forward na server s ispadminem ( toto pravidlo se potom propíše do všech Mikrotiků ). Pak si ke klientovi můžu nastavit nějakou ip z rozsahu na vysílači a jsem schopnej se dostat do ISPADMINA.

Jenže to je furt, že musím na ISP Admina a ručně si přiřadit službu, abych si teda mohl třeba změřit rychlost aspoň..
0 x
Nahoru
Odpovědět

Zpět na „Management sítě, služeb a uživatelů“