Настройка Фильтра В Traffic Inspector
- Работает более-менее, но вот столкнулся с задачей, что нужно настроить фильтры на евошней проксе. То бишь, например, закрыть всем одноклассники и некоторым аську, мэйл.ру. Копал-копал хелп, так и не допетрил сам чокаво.. Re: Фильтрация в Traffic Inspector - кто настраива. Автор: озверели, тринадцать банов за правду!!!
- Конфа: - WinXP Prof; - Traffic Inspector 1.1.3.159rc настроен через ICS-NAT, здесь все работает, удаленные машины видят Инет; - Доступ в Инет: исходящий трафик по земле, входящий через спутник PlanetSky (OpenVPN). Вопрос: Мне нужно создать фильтры которые бы меняли стоимость мегабайта днем на одну а ночью на другую. Если можно по пунктам (по каждой вкладке окошка отдельно, где и что вписывать, очень буду рад, если это будут скриншоты, там всего 9 получится) пожалуйста, а то встроенный хелп мне ну никак не помог, толь руки кривые, толь где мелочь какая-то жизни не дает. И еще что означает &q.
Автор: MediaSound™ Дата: 11 Сен 2008 14:29 Цитата: От пользователя: озверели, тринадцать банов. Нужно только мозг включить. Перед прочтением темы, даветь? Я не хочу всё всем закрыть кроме почты а только пару сайтов конкретным клиентам одному один, второму другой, итд. А всё остальное чтоб работало группы для пользователей создать - понятно если я хочу разным юзерам разные сайты закрыть - каждому группу персональную создавать? Далее, фильтр создал на запрещение - понятно хочу использовать список хостов - как его создать?
Сообщение изменено пользователем 14:44 Поделиться.
В этой и следующей части статьи используется следующая топология сети:. WAN – 172.30.10.26/24, Default Gateway 172.30.10.1. DMZ – 10.10.10.1./24. LAN – 192.168.88.1/24 Как это настроить — смотрите статью Немного повторяя статью по настройке RB 2011, я позволю себе напомнить, что для начала необходимо отключить неиспользуемые на маршрутизаторе сервисы.
Firew all Настройка служб Traffic Inspector. Опции конфигурации. Автоматическая установка драйвера Traffic © 2003 - 2012 SMART-SOFT 5 Traffic Inspector Inspector NDIS5 или NDIS6 в зависимости от ОС. Новый антирекламный модуль Adguard. Оптимизирована работа модуля Antispam. Traffic Inspector работа. (настройка NAT. Также можно перенести их в список фильтров.
Фактически для настройки и работы с маршрутизатором нам достаточно сервисов:. Winbox – порт 8291 TCP;.
Ssh – порт 22 TCP;. www – порт 80 TCP. Открываем меню IP / Services и воспользовавшись кнопкой Disable отключаем ненужные нам сервисы. Если вы используете для работы с MikroTik протокол ssh, хорошей идеей будет изменить его стандартный порт на какой-нибудь другой, например 65522.
Настройка Фильтра В Traffic Inspector 3.0
Для этого дважды щелкаем по строке с ssh и в открывшемся окне меняем порт: Нажав ОК, подтверждаем выбор. Также можно поменять порты winbox и www. Однако мы не наблюдали, чтобы порт 8291 (winbox) подвергался атаке по подбору пароля. А вот в случае атаки порта ssh к маршрутизатору, находящемуся на внешнем IP адресе, производится до нескольких сотен попыток несанкционированного подключения в сутки.
Web-интерфейс, конечно, тоже лучше отключить, но если вы по каким-то причинам не можете использовать для настройки winbox, то будет хорошим решением разрешить доступ к web-интерфейсу маршрутизатора только из локальной сети. Для этого дважды щелкаем по строке с www и заполняем поле available from: Нажав кнопку ОК, подтверждаем выбор.
Настройка Фильтра В Traffic Inspector 3
Заходим в меню ip/neighbors, переходим на закладку Discovery Interfaces и отключаем все кроме интерфейса LAN, нажатием на кнопку Disable. Далее идем в меню Tools/MAC Server и на закладках Telnet Interfaces и WinBox Interfaces добавляем интерфейс LAN, удаляем если есть любые другие интерфейсы и отключаем интерфейс '.all' Это не даст возможности подключиться к маршрутизатору снаружи, при помощи MAC - Telnet Если кто-то считает что это излишние меры безопасности, вот что видит на WAN -портах один из установленных в работу маршрутизаторов. При этом на два из них удалось зайти mac-telnet и получить доступ к управлению. В мы с вами узнали, что:. Трафик, идущий на маршрутизатор, попадает в цепочку файрвола input;. Трафик, создаваемый маршрутизатором, попадает в цепочку файрвола output;. Трафик, идущий через маршрутизатор, попадает в цепочку forward;.
Существуют четыре состояния соединения: new, established, related, invalid. То есть, исходя из состояний соединения и цепочек, общие правила защиты маршрутизатора можно сформулировать как:. Мы работаем только с цепочкой input;.
Мы пропускаем соединения с состоянием established и related, как уже установленные;. Мы пропускаем протокол ICMP;. Мы считаем как WAN, так и DMZ недоверенными сетями;. Мы разрешаем прохождение некоторого трафика на маршрутизатор. Остальной трафик блокируем. Теперь давайте определим разрешенный трафик с недоверенных интерфейсов. Итак, мы разрешаем:.
TCP порт 8291 – winbox, удаленное управление снаружи;. 65522 ssh на измененном порту;. Предположим, что у нас в дальнейшем будет настраиваться VPN-сервер по протоколу PPTP и мы разрешим порт 1723 по протоколу TCP. Также с этого момента мы начинаем работать с командной строкой маршрутизатора. Все команды вставляются в терминал маршрутизатора. Если необходимо – вы можете посмотреть в графическом интерфейсе, что конкретно было сделано.
Очень скоро вы научитесь читать команды и соотносить их с графическим интерфейсом. Определяем так называемые bogon-сети (сети приватных или не распределенных IP-адресов).