8سپاس
LinkBack URL
About LinkBacksجایی برای دسترسی اون IP به اینترنت هم چیزی تعریف کرده اید ؟ Nat ای Route ای چیزی !؟
جایی برای دسترسی اون IP به اینترنت هم چیزی تعریف کرده اید ؟ Nat ای Route ای چیزی !؟
Mohammad Rasoul Rasti
There's no place like 127.0.0.1
m.rasti [@] outlook.com
نت که روی ای پی های Invalid شده است.
ولی روی Valid فقط کارایی که گفتم رو انجام دادم.
چه کار دیگه ای لازمه؟
proxy arp رو باید فعال کنید ! بعد با Accounting هم invalid می تونید بدید هم Valid ! حالا می خواد VPN باشه ، می خواد PPPOE باشه ، می خواد Lan باشه !
آقای راستی مرسی
بابت گوش زدتون.
مشکل برطرف شد.
این کارها رو تو firewall/nat انجام دادیم:
chain=srcnat out-interface=Internet src-address=0.0.0.0
action=masquerad
IP وليد رو كه masquerade كني ديگه وليد نميشه كه...
جوابتون رو آقاي نادر پور دادند.
نوشته اصلی توسط herus_deus
پس باید چکار کنم؟
یعنی تو قسمت IP/ARP اون آی پی ولید رو اضافه کنم؟
روی اینترفیسی که ValidIP داره به جای Arp از Proxy Arp استفاده کنید ! این گزینه توی قسمت اینترفیس ها قرار داره و Arp نام داره که شما باید از حالت Enable به حالت proxyarp تغییرش بدید ! در ضمن Masqurade رو هم حذف کنید (البته برای IP های Valid)
در حال حاضر اینترفیس آی پی ولید ها با اینولید ها یکی است.
این مسئله مشکلی پیش نمیاره؟
ویرایش توسط iq2 : 2009-05-21 در ساعت 01:18 AM
مسلما یکی نباید باشه و بهتره جدا کنید . حتی رو یک Lan هم نباشند در کل اصولی تر هست و امنیت بالا تری داره
مشکلی با جدا کردن اینترفیس نیست ولی
اگه بخواهیم روی یک lan نباشه مسلما باید فقط از اون رادیو واسه همون 1 یوزر استفاده بشه.
درسته؟
ما کلا 2 تا اینترفیس در نظر گرفتیم.
lan1: اینترنت با ip valid
lan2: هم invalid
کاربرای عادی (منظور یوزرهایی که ip invalid میخوان) به lan2 وصل میشن و ....
در حال حاضر هم برای کاربران که ip valid میخوان وقتی به گفته شما lan1 (که ip valid داره و اینترنت ازش میاد) رو به proxy arp تغییر می دهیم یوزر valid هم اینترنت میگیره و مشکل برطرف میشه.
حالا در مورد امنیت می فرمائید چه کار کنیم؟
یه اینترفیس اضافه کنیم؟
روی همون اینترفیس invalid دوتا پول تعریف کن یکی ولید یکی غیرولید سپس اینولید هارو نت کن و ولید ها رو روت کن
یه مشکل جالب امروز پیش امد برامون.
نمیدونم به کارهایی که برای IP valid ها کردیم ربط داره یا نه.
کاربرای ما از طریق VPN به شبکه متصل می شوند.( یعنی بطور معمول وقتی به شبکه وصل شوند و VPN نزنند اینترنت ندارند)
ما در قسمت firewall/filter فقط به آی پی های مجاز اجازه دسترسی دادیم و بقیه رو بلاک کردیم.
ولی امروز من اون IPهایی که تو فایروال اجازه عبور بهشون داده بودیم رو ست کردم رو لن وایرلس بدون اینکه VPN زده بشه اینترنت دارند.
نمیدونم کجا خراب کاری کردم
لطفا راهنمایی کنید!
تنظیمات مربوط به فایروال رو ایجوری انجام داده بودم:
mikrotik@mikrotik] ip firewall filter> print
Flags: X - disabled, I - invalid, D - dynamic
chain=forward src-address=10.0.0.9 action=accept
chain=forward src-address=10.0.0.10 action=accept
chain=forward src-address=10.0.0.11 action=accept
chain=forward src-address=10.0.0.12 action=accept
chain=forward src-address=10.0.0.13 action=accept
chain=forward src-address=10.0.0.14 action=accept
chain=forward src-address=10.0.0.15 action=accept
chain=forward src-address=10.0.0.16 action=accept
chain=forward src-address=10.0.0.0/24 action=drop
chain=input protocol=tcp dst-port=23 action=drop
chain=forward src-address=0.0.0.0/8 action=drop
chain=forward dst-address=0.0.0.0/8 action=drop
chain=forward src-address=127.0.0.0/8 action=drop
chain=forward dst-address=127.0.0.0/8 action=drop
chain=forward src-address=224.0.0.0/3 action=drop
chain=forward dst-address=224.0.0.0/3 action=drop
chain=forward connection-state=established action=accept
chain=forward connection-state=related action=accept
chain=forward connection-state=invalid action=drop
chain=virus protocol=tcp dst-port=135-139 action=drop
chain=virus protocol=udp dst-port=135-139 action=drop
chain=virus protocol=tcp dst-port=445 action=drop
chain=virus protocol=udp dst-port=445 action=drop
chain=virus protocol=tcp dst-port=593 action=drop
chain=virus protocol=tcp dst-port=1024-1030 action=drop
chain=virus protocol=tcp dst-port=1080 action=drop
chain=virus protocol=tcp dst-port=1214 action=drop
chain=virus protocol=tcp dst-port=1363 action=drop
chain=virus protocol=tcp dst-port=1364 action=drop
chain=virus protocol=tcp dst-port=1368 action=drop
chain=virus protocol=tcp dst-port=1373 action=drop
chain=virus protocol=tcp dst-port=1377 action=drop
chain=virus protocol=tcp dst-port=1433-1434 action=drop
chain=virus protocol=tcp dst-port=2745 action=drop
chain=virus protocol=tcp dst-port=2283 action=drop
chain=virus protocol=tcp dst-port=2535 action=drop
chain=virus protocol=tcp dst-port=2745 action=drop
chain=virus protocol=tcp dst-port=3127-3128 action=drop
chain=virus protocol=tcp dst-port=3410 action=drop
chain=virus protocol=tcp dst-port=4444 action=drop
chain=virus protocol=udp dst-port=4444 action=drop
chain=virus protocol=tcp dst-port=5554 action=drop
chain=virus protocol=tcp dst-port=8866 action=drop
chain=virus protocol=tcp dst-port=9898 action=drop
chain=virus protocol=tcp dst-port=10000 action=drop
chain=virus protocol=tcp dst-port=10080 action=drop
chain=virus protocol=tcp dst-port=12345 action=drop
chain=virus protocol=tcp dst-port=17300 action=drop
chain=virus protocol=tcp dst-port=27374 action=drop
chain=virus protocol=tcp dst-port=65506 action=drop
chain=forward action=jump jump-target=virus
اون جند تا رنج 10 که در بالا اجازه دسترسی بهش داده شده بدون VPN هم اینترنت دارن.
عجیبه؟
مجوز های ارسال و ویرایش
