Fórum Root.cz
Hlavní témata => Sítě => Téma založeno: BigSandy 15. 06. 2023, 06:17:59
-
Zdravím.
https://forum.root.cz/index.php?topic=27668.0
Lukáš mi tam poradil.
Na firewallu se nastaví nějaké takové pravidlo:
/ip firewall filter
add action=drop chain=forward comment="drop all on port 8010" disabled=yes protocol=tcp port=8010
Ja jen změnil port na 4411, ale nefunguje to.
https://postimg.cc/5X1yMs26
Na te strance jsem řešil nastavení routru jako switche.
Nakonec jsme zavolali providerovi, který si sve zařizení přenastavil do bridbe, takže nám routuje mikrotik.
Mame NVR, ktere jede na portu 3321 a přes port forward ho posilam ven na port 4411.
Tento port potřebují mezi 6:00 až 17:00 zablokovat.
Doma v tabletu mam iVMS-4500 HD pro hikvision, a NVR připojene na tom portu 4411 a furt kamery jedou.
Co dělam špatně?
Jsem zkusil změnil in.interface na wan a take kamery furt jedou.
-
disabled=yes
I na tom obrazku mas u toho pravidla cerveny krizek = neni aktivni, nic nedela.
-
Aha ;)
Jak ho ručně zapnu?
-
No nějak se v tom zazračnem stroji zaplantavam.
Ja myslel že když je tam ten křižek, tak je port blokly. Action - drop.
I když změním na accept, tak to furt jede.
https://i.postimg.cc/Y085gspf/blok.png
Podle mně, tak to plokují někde jinde než na wan portu.
-
Pravidlo je Accept, co je ok ... Teraz je NVrko dostupne z vonku.
Pravym tlacitkom mysi ho Disablnes, cim pravidlo zneaktivnis.
-
Tady bude zakopaný pes někde jinde.
Ja jsem to měl dobře.
Jsem to zkoušel poslat přes port forwardl po stejnem portu na kterem je NVR - 3321.
accept mám drop a funguje to. Pokud je pravidlo enable,tak kamery nejedou. Pokud je pravidlo disable, kamery jedou.
Jak to ale pořešit na tom 4411 portu?
https://i.postimg.cc/yxnFMq13/drop.png
Pokud se kouknete na ten port 441 tak packets není žadný provoz a kamery přes NVR jedou.
-
S mikrotikem neumim, ale bych řek, že mam špatně nastavene In. Interface a Out. Interface
-
Vykasli sa na firewall ked tomu nerozumies, disablni pravidlo, a sprav si v sekcii NAT nove.
Tab General:
chain: dstnat, proto: TCP, DST port: (tvoj wan port, cize asi 4411), INT interface: Tvoje WAN rozhranie
Tab Action:
Action:dst-nat, to_ip: ipcka_nvrka, to_port:lokalny_port nvrka (asi 3321)
-
Dobre řešení, děkují, ale zas potřebují pomoct.
Jak nastavit od 17:00 hod do druheho dne 05:00
https://i.postimg.cc/tg0PrK8k/den.png
-
A co ti na tom nie je jasne ?
Dni v tyzdni, 17:00 - 05:00.
-
A co ti na tom nie je jasne ?
Dni v tyzdni, 17:00 - 05:00.
Hm. Vypada to, že to funguje.
Ja vychazel tady s toho.
https://forum.mikrotik.com/viewtopic.php?t=14102
Děkují.
-
Tak funguje, ale stejnak by mně zajimalo, kde jsem dělal kopanec na tom firewallu.
Nenajde se někdo, kdo vysvětli?
Děkuí.
-
Vyssi divci ... Ak mas NAt, staci to, co si aplikoval. Ak by si NAt nemal, treba ist cez firewall ...
Dokonca sa to aj v pripade NATu kombinuje, ale tam sa clovek uz rychlo zamota, ked tomu nerozumie ..
(najprv sa zhodnoti na firewale pravidlo, ci vobec packet ide dalej, nez sa dostane do sekcie NAT).
Pre zaciatocnika to takto staci ...
Este by som osefoval na pristup cez address list ...
-
disabled=yes
I na tom obrazku mas u toho pravidla cerveny krizek = neni aktivni, nic nedela.
Na to jste proboha přišel kde? křížek znamená jen action=drop, tedy, že je to pravidlo, které něco zakazuje. Disabled by bylo zašedlé.
Nenajde se někdo, kdo vysvětli?
Je možné, že komunikaci "pustilo" pravidlo accept established, related... pokud už tam nějaká komunikace probíhá, tak ji to pravidlo pustí i když je to pod tím zakázáno (vyhodnocuje se podle pořadí a první pravidlo, které vyhovuje, se na to uplatní.) Jinak záleží, co jste tam přesně měl za nastavení :))
-
No, už to blokují na tom port forward. Tam to jde take časově nastavit.
Ale asi jsem to posmolil v nastavovaní.
https://operavps.com/docs/block-port-in-winbox/
Jsem tam měl forwald a měl jsem to blokovat na imputu, ne?
-
No, už to blokují na tom port forward. Tam to jde take časově nastavit.
Ale asi jsem to posmolil v nastavovaní.
https://operavps.com/docs/block-port-in-winbox/
Jsem tam měl forwald a měl jsem to blokovat na imputu, ne?
Pokud pravidlo drop nefunguje tak buď proto, že packet neodpovídá zadání (špatně nastavené pravidlo) nebo komunikaci něco před tím povolí, v tomhle případě možná pravidlo accept established+related, jak psal Lukáš Tesař. Pokud je na packet uplatněný pravidlo accept (nebo drop), na další pravidla už ho to nepustí.
Chain Input řeší provoz přímo DO routeru, jako je např. přihlášení uživatelů apod.
Chain Forward zase řeší komunikaci SKRZ router jako je např. LAN->WAN nebo BRIDGE1->BRIDGE2. Pravidlo forward tedy bylo správně.
-
Pro zjištění kde je chyba se dá použít pravidlo s akcí "passthrough".
Vytvoří se nové pravidlo se stejnými parametry, ale místo action=drop se zvolí action=passthrough. To se následně přesune úplně nahoru. Passthrough je v podstatě jen počítadlo, sleduješ jestli prochází provoz ve sloupci Bytes a Packets. Postupně přesouváš o řádek níž. Když passthrough pravidlo přestane zachytávat packety, pravidlo o řádek výš je problém.