MikroTik - zrusenie bridge (default SOHO settings)

Všetko o sieťach, nastaveniach, problémoch ...
Používateľov profilový obrázok
16cmfan
VIP
VIP
Príspevky: 3601
Dátum registrácie: Ne 12. Júl, 2009, 09:31
Bydlisko: Bardejov

Re: MikroTik - zrusenie bridge (default SOHO settings)

Príspevok od používateľa 16cmfan »

Odar napísal:16cmfan --> Viem. Len ja som uz reagoval na shiro. Sa to tu uz mota :D
shiro napísal:Nepotrebujem ziadne selektovanie na rozne subnety, ako je v linku co si dal predtym ze LAN2 ma 192.168.2.xxx, LAN3 ma 192.168.3.xxx atd.
Jasne, ze nie. Je to len priklad, ze sa to tak spravit da. Mozes si zadefinovat trebars

Kód: Vybrať všetko

ether2 192.168.88.10  - 192.168.88.50
ether3 192.168.88.51  - 192.168.88.100
ether4 192.168.88.101 - 192.168.88.150
ether5 192.168.88.151 - 192.168.88.200
wlan1  192.168.88.201 - 192.168.88.250
Na doma ti na kazdy interface taky pocet IP adries urcite staci. Vacsinu z nich aj tak budes mat zrejme nastavenu ako static. Otazne je este, ci nie je lepsie stacicke adresy volit mimo rozsahu, ktory bude pridelovat DHCP server. Trebas si to cislovat od 192.168.88.300 a vyssie . . .
255.255.255.255/32 - nad 300 sa neda :D

vidis, robis zbytocnu robotu - i tak do toho budes sprtat, tak preco to neurobit poriadne - z toho by si mal problemy - ako ti to bude routovat ked su na rovnakom subnete ? Nemam odskusane ale je vyzera to na pekny sajgon... valstne ani fungovat to z principu nemoze ci ? Turbo urcite poda vysvetlicko
Mobo Asus PRIME B450 Plus CPU Ryzen 7 5800X3D (Noctua NH-U12S + dual fan Noctua NF-A12) GPU MSI GeForce RTX 3070 Ventus 3X RAM G.Skill Ripjaws V F4-4000C18D-32GVK SSD Silicon Power P34A80 CASE Lancool 205 PSU Corsair RM550x case cooling: exhaust 2x Noctua F12, in-take 2x Lian Li 120mm

NB: Dell E7470 Skylake Core i5 + 16GB RAM + FHD IPS Foun: Oppo Reno 5Z
Main server: Asus PRIME A320M-K + Ryzen 5 2600 + GTX 1660Ti + 32GB Ram
NAS: QNAP TS-128 - 2TB Seagate Iron Wolf + MikroTik RB952
Peripherals: Dual monas setup 27" Samsung Odyssey G5 and AOC I2470Sw + Steelseries Apex 5 + Steelseries Rival 3 + QcK + Logitech G435
Používateľov profilový obrázok
Odar
Pokročilý používateľ
Pokročilý používateľ
Príspevky: 5630
Dátum registrácie: St 13. Okt, 2010, 17:10
Bydlisko: PD / NR Slovensko

Re: MikroTik - zrusenie bridge (default SOHO settings)

Príspevok od používateľa Odar »

No s tou 300vkou som to nedomyslel :facepalm:

No nic, koniec teoretizovania. Ked zacnem do toho vrtat - ozvem sa.

Inak to riesenie, ze kazda zastrcka iny subnet ma logiku - podla IP adresy clovek vie, kde ma to zariadenie fyzicky strcene. Ma to svoje vyhody.
- PC
Spoiler: ukázať
Corsair SF600 600W 80 PLUS Platinum
Cooler Master MasterBox NR200 Black
Crucial Ballistix 2 x 16GB DDR4 3600 CL16
Kingston KC3000 2TB NVMe + Thermalright HR-09 2280 PRO Black, Samsung 970 EVO Plus 2TB NVMe
Gigabyte B550 I AORUS PRO AX
Ryzen 9 5900X
ASUS TUF GeForce RTX 3080 GAMING O12G (0.862V @ 1890 MHz)
Noctua NH-U12A
2 x Noiseblocker NB-eLoop B12-PS
2 x Noctua NF-A12x15 PWM Chromax Black
AOC Q3279VWF
-- HTPC
Spoiler: ukázať
Streacom ST-NANO150 HTPC PSU 150 Watt
Streacom ST-F7CS EVO
Asus ROG STRIX B760-I GAMING WIFI
i5-13500 (power limit 45 W)
Kingston FURY Beast DDR5 2x16 GB 5200 MHz CL40
Silicon Power P34A60 2 TB NVMe + Samsung 850 EVO 500 GB SATA + Crucial MX500 2 TB SATA + WD Blue 3D NAND 500 GB M.2 SATA
Noctua NH-L9x65
Noctua NF-A8 PWM
Používateľov profilový obrázok
shiro
Pokročilý používateľ
Pokročilý používateľ
Príspevky: 8732
Dátum registrácie: Št 21. Dec, 2006, 02:00
Bydlisko: Banska Bystrica

Re: MikroTik - zrusenie bridge (default SOHO settings)

Príspevok od používateľa shiro »

dik za info turbo.
nebojte, chapem :-)
Ked uz, tak asi to spravim ako pisal Odar s tymi poolmi.
A uvidia sa bez problemov zariadenia, ked jedno bude mat ip z poolu
ether2 192.168.88.10 - 192.168.88.50

a dalsie z poolu
ether3 192.168.88.51 - 192.168.88.100 ?
Routy sa spravia vraj automaticky...alebo je potrebne nieco dakde doplnat?

Co forwarding portov? Bez bridgu tam musim urcit aj interface, ze?
Ryzen 7 3700X | SilentiumPC Fera 3 | Asrock X570M Pro4 | Patriot Viper 4 Blackout 16GB DDR4-3600 CL17 | Gainward RTX4060 Ti Pegasus 8GB | Samsung 970evo Plus 250GB NVMe | Corsair MP510 1TB NVMe | Samsung 980 Pro 2TB NVMe | Corsair RM550x | 32" Samsung ViewFinity S60UA | 3x Noctua NF-S12B redux 1200 PWM
Xiaomi Mi 9 Lite 64GB
Hexaris

Re: MikroTik - zrusenie bridge (default SOHO settings)

Príspevok od používateľa Hexaris »

No v soho ten bridge bude urcite strasna kalamita ... z tohto som uz ja vyrastol. Routing nech je tam, kde je ho naozaj treba. Preco by inak existoval vmbr ? Je pravda ze u xeonu mi to da 1,4GBps nie Gb takze sa to zrovnavat moc neda s cpu v RB, ale v urcitych pripadoch to chapem, ze bridge by bol na skodu.
Používateľov profilový obrázok
16cmfan
VIP
VIP
Príspevky: 3601
Dátum registrácie: Ne 12. Júl, 2009, 09:31
Bydlisko: Bardejov

Re: MikroTik - zrusenie bridge (default SOHO settings)

Príspevok od používateľa 16cmfan »

shiro napísal:dik za info turbo.
nebojte, chapem :-)
Ked uz, tak asi to spravim ako pisal Odar s tymi poolmi.
A uvidia sa bez problemov zariadenia, ked jedno bude mat ip z poolu
ether2 192.168.88.10 - 192.168.88.50

a dalsie z poolu
ether3 192.168.88.51 - 192.168.88.100 ?
Routy sa spravia vraj automaticky...alebo je potrebne nieco dakde doplnat?

Co forwarding portov? Bez bridgu tam musim urcit aj interface, ze?
Ale mas tam stale rovnaky subnet :( A nema to ziaden zmysel tym padom...
Mobo Asus PRIME B450 Plus CPU Ryzen 7 5800X3D (Noctua NH-U12S + dual fan Noctua NF-A12) GPU MSI GeForce RTX 3070 Ventus 3X RAM G.Skill Ripjaws V F4-4000C18D-32GVK SSD Silicon Power P34A80 CASE Lancool 205 PSU Corsair RM550x case cooling: exhaust 2x Noctua F12, in-take 2x Lian Li 120mm

NB: Dell E7470 Skylake Core i5 + 16GB RAM + FHD IPS Foun: Oppo Reno 5Z
Main server: Asus PRIME A320M-K + Ryzen 5 2600 + GTX 1660Ti + 32GB Ram
NAS: QNAP TS-128 - 2TB Seagate Iron Wolf + MikroTik RB952
Peripherals: Dual monas setup 27" Samsung Odyssey G5 and AOC I2470Sw + Steelseries Apex 5 + Steelseries Rival 3 + QcK + Logitech G435
Používateľov profilový obrázok
Odar
Pokročilý používateľ
Pokročilý používateľ
Príspevky: 5630
Dátum registrácie: St 13. Okt, 2010, 17:10
Bydlisko: PD / NR Slovensko

Re: MikroTik - zrusenie bridge (default SOHO settings)

Príspevok od používateľa Odar »

Tak nakoniec je to v domacich podmienkach zbytocna robota a nema zmysel sa s tym babrat?
- PC
Spoiler: ukázať
Corsair SF600 600W 80 PLUS Platinum
Cooler Master MasterBox NR200 Black
Crucial Ballistix 2 x 16GB DDR4 3600 CL16
Kingston KC3000 2TB NVMe + Thermalright HR-09 2280 PRO Black, Samsung 970 EVO Plus 2TB NVMe
Gigabyte B550 I AORUS PRO AX
Ryzen 9 5900X
ASUS TUF GeForce RTX 3080 GAMING O12G (0.862V @ 1890 MHz)
Noctua NH-U12A
2 x Noiseblocker NB-eLoop B12-PS
2 x Noctua NF-A12x15 PWM Chromax Black
AOC Q3279VWF
-- HTPC
Spoiler: ukázať
Streacom ST-NANO150 HTPC PSU 150 Watt
Streacom ST-F7CS EVO
Asus ROG STRIX B760-I GAMING WIFI
i5-13500 (power limit 45 W)
Kingston FURY Beast DDR5 2x16 GB 5200 MHz CL40
Silicon Power P34A60 2 TB NVMe + Samsung 850 EVO 500 GB SATA + Crucial MX500 2 TB SATA + WD Blue 3D NAND 500 GB M.2 SATA
Noctua NH-L9x65
Noctua NF-A8 PWM
mp3turbo
Pokročilý používateľ
Pokročilý používateľ
Príspevky: 12262
Dátum registrácie: St 27. Apr, 2011, 11:16
Bydlisko: ta Blava, ňe ?

Re: MikroTik - zrusenie bridge (default SOHO settings)

Príspevok od používateľa mp3turbo »

>> Ked uz, tak asi to spravim ako pisal Odar s tymi poolmi.
>> A uvidia sa bez problemov zariadenia, ked jedno bude mat ip z poolu ether2 192.168.88.10 - 192.168.88.50
>> a dalsie z poolu ether3 192.168.88.51 - 192.168.88.100 ?

nie, neuvidia ked im das masku 255.255.255.0 alebo 255.255.255.128 alebo nieco podobne velke. Dovod ? V takom pripade bude totiz lokalny pocitac povedzme 192.168.88.32 hladat kamarata 192.168.88.87 na svojej tcp/ip sieti cize pojde cestou zistovania MAC adresy cez ARP a to sa mu nepodari kedze 192.168.88.87 bude obeseny na inom fyzickom interfejsi mikrotiku. Tak ako som napisal hore teda moj posledny prispevok na konci prvej strany, nebude to fungovat kvoli MAC/ARP.

Nechapem aky je stress mat ine cisla na telefone a ine cisla na pocitaci a ine cisla na notebooku a ine cisla na televizore. Proste si chcem otvorit notebookove fajliky, tak \\meno a cisla ma nezaujimaju. Ked nemam dobre spraveny DNS, tak \\192.168.300.400 [sranda na zaklade vyssie uvedeneho] a vobec ma netrapi ze moje cisla su 192.168.600.700, ci to je iny segment alebo nie. Napriamo to ajtak nepojde, bude to cez Mikrotik tak ci tak, cize je to jedno z hladiska praktickeho.


Je to zbytocna robota aj nie je to zbytocna robota, poviem ti tak : ked mas spravne nastavenu firewall vec, tak jedna rodina z tych troch v baraku nemoze zavirit ostatne dve. Lebo ty si slusny clovek, chodis na www.bestgames.com a www.vub.sk, nic ine, lenze ten 16rocny chuj odvedla je www.bestporno.com www.noviruseshereonlythebestchicks.com a podobne. A ked mas na pocitaci nejake normalne nechcem povedat cenne data... mnohi z nas na pocitaci robia aj ine veci nez sa hraju Doom a KaunterStrajk.

Ja som proste cely zivot routovaci chlapec a nechapem preco ma existovat nieco ine co ma kvanta kvanta technologickych nevyhod. Nechapem preco vznikla 1.2htp a preco to ludia vobec kupovali, ked je to proste technologicky odpad a blbost, ma to strasny zvuk a podobne. To znamena ze bridging ako taky ma svoje vlastnosti a "ehm pouzitie" ale je proste technologicky inferiorny v porovnani s alternativami.

JEDINA vec kde "vynika" je jednoduchost obsluhy, vsetko na velku jednu hromadu. Cele zle, uplne zle. Strasne ako 1.2htp.
Som matematik... Vzrusuju ma cisla, napriklad 8300 na otackomeri alebo 2,15 baru z kompresora a este aj 1-12-5-8-3-10-6-7-2-11-4-9.
Používateľov profilový obrázok
shiro
Pokročilý používateľ
Pokročilý používateľ
Príspevky: 8732
Dátum registrácie: Št 21. Dec, 2006, 02:00
Bydlisko: Banska Bystrica

Re: MikroTik - zrusenie bridge (default SOHO settings)

Príspevok od používateľa shiro »

obecne radsej vytukam ipcku, ako hostname...naco do toho tahat dns v ramci domacej LAN, ked nemusim?
V tomto som rad jednoduchy a idem natvrdo po ipckach :-)

moze to byt lepsie, ale ked to ma mat 10x viac nastavovaciek a mam si pamatat 10x viac informacii co a ako pracuje, tak to za efektivne moc nepovazujem. aby som si o tom pisal dve strany textaku ze ako to funguje, aby som nezabudol casom :-)
Samozrejme dakde do firmy, kde je treba riesit aj bezpecnost, ano, s tym suhlasim. Doma mam v LAN poriadok, ziadne porno exotiny.

Ono ohladom DNS na mikrotiku...ako to vlastne funguje? pochybujem ze MT (mikrotiku) ma vlastny dns server, cize dns poziadavky to pusti von do netu a tam sa resolvuju? Vlastne netusim ako na MT spravit dns, aj ked mam ipcku MT zadanu ako dns vo windows. toto som nikdy nejak neriesil, tak neviem ako to funguje. Je lepsie mat dns u seba doma na MT?

Ako sa budu chovat pravidla vo firewalle po odstraneni bridge? tipujem ze ich bude treba editnut.
Ryzen 7 3700X | SilentiumPC Fera 3 | Asrock X570M Pro4 | Patriot Viper 4 Blackout 16GB DDR4-3600 CL17 | Gainward RTX4060 Ti Pegasus 8GB | Samsung 970evo Plus 250GB NVMe | Corsair MP510 1TB NVMe | Samsung 980 Pro 2TB NVMe | Corsair RM550x | 32" Samsung ViewFinity S60UA | 3x Noctua NF-S12B redux 1200 PWM
Xiaomi Mi 9 Lite 64GB
Hexaris

Re: MikroTik - zrusenie bridge (default SOHO settings)

Príspevok od používateľa Hexaris »

Zas to htp ... bridge zly nie je, cele je to len o tom kde a ako sa bude pouzivat. Ani mne htp hlava neberie, starsim ludom vsak moze vyhovovat. Nezapocitavam kvalitu vyrobku aby bolo jasno.

Mikrotik dns je recursor cache nic viac. Hlavne na public ip zakaz pristup z vonku na 53 port, inak u ISP sa bude abuse mail sklonovat vo vsetkych padoch. Inak vseobecne bude lepsie si nastavit nejake normalne DNS, ci uz ISP, nejake free public ...
Používateľov profilový obrázok
16cmfan
VIP
VIP
Príspevky: 3601
Dátum registrácie: Ne 12. Júl, 2009, 09:31
Bydlisko: Bardejov

Re: MikroTik - zrusenie bridge (default SOHO settings)

Príspevok od používateľa 16cmfan »

V prilohe moj FW a FW na bridge.

Obrázok
Mobo Asus PRIME B450 Plus CPU Ryzen 7 5800X3D (Noctua NH-U12S + dual fan Noctua NF-A12) GPU MSI GeForce RTX 3070 Ventus 3X RAM G.Skill Ripjaws V F4-4000C18D-32GVK SSD Silicon Power P34A80 CASE Lancool 205 PSU Corsair RM550x case cooling: exhaust 2x Noctua F12, in-take 2x Lian Li 120mm

NB: Dell E7470 Skylake Core i5 + 16GB RAM + FHD IPS Foun: Oppo Reno 5Z
Main server: Asus PRIME A320M-K + Ryzen 5 2600 + GTX 1660Ti + 32GB Ram
NAS: QNAP TS-128 - 2TB Seagate Iron Wolf + MikroTik RB952
Peripherals: Dual monas setup 27" Samsung Odyssey G5 and AOC I2470Sw + Steelseries Apex 5 + Steelseries Rival 3 + QcK + Logitech G435
mp3turbo
Pokročilý používateľ
Pokročilý používateľ
Príspevky: 12262
Dátum registrácie: St 27. Apr, 2011, 11:16
Bydlisko: ta Blava, ňe ?

Re: MikroTik - zrusenie bridge (default SOHO settings)

Príspevok od používateľa mp3turbo »

>> Ono ohladom DNS na mikrotiku...ako to vlastne funguje? pochybujem ze MT (mikrotiku) ma vlastny dns server, cize dns poziadavky
>> to pusti von do netu a tam sa resolvuju? Vlastne netusim ako na MT spravit dns, aj ked mam ipcku MT zadanu ako dns vo windows.
>> toto som nikdy nejak neriesil, tak neviem ako to funguje. Je lepsie mat dns u seba doma na MT?

Mikrotik funguje uplne rovnako ako vsetky ostatne platformy ; ma v sebe zabudovany DNS server (preto mozes pouzit Mikrotik IPcku v konfiguracii tvojich klientov, PC, notebookov, telefonov) a zaroven ma nastaveny tzv. forwarder cize nadradeny DNS Server ktoreho sa pyta ked nieco nevie rozlisit.

Princip prace DNS je zlahka mimo tuto temu, ale velmi strucne hierarchia : ked nieco viem rozsifrovat sam tak to urobim (napriklad lokalne adresy 192.168.60.2 moze byt mojnajpornovatejsi.notebook.v.pracovni) a ked nieco neviem tak sa opytam toho DNSka nadomnou (=provider) ktory vie. A ked ten provider nevie (pretoze samozrejme nema u seba komplet cely svet, takze 99.999999% nevie) tak sa opyta zase toho nad sebou atd, az sa dostaneme na tzv. root dns servery. Ostatne dostudujes na internete.


16cm ventilator : pravidla mas relativne dobre, avsak redundantne. Od dvanastky do dvadsattrojky mozes vsetko vymazat, pretoze to pokryvaju posledne dve pravidla cislo 24, 25 [teraz by som musel pospekulovat nad tym forwardingom = routingom medzi 192.168.xx.yy sietkami] Nie je ziadny problem tak ako to mas, len pri vyssom trafficu zbytocna zataz procesoru.
Som matematik... Vzrusuju ma cisla, napriklad 8300 na otackomeri alebo 2,15 baru z kompresora a este aj 1-12-5-8-3-10-6-7-2-11-4-9.
Používateľov profilový obrázok
16cmfan
VIP
VIP
Príspevky: 3601
Dátum registrácie: Ne 12. Júl, 2009, 09:31
Bydlisko: Bardejov

Re: MikroTik - zrusenie bridge (default SOHO settings)

Príspevok od používateľa 16cmfan »

mp3turbo napísal:16cm ventilator : pravidla mas relativne dobre, avsak redundantne. Od dvanastky do dvadsattrojky mozes vsetko vymazat, pretoze to pokryvaju posledne dve pravidla cislo 24, 25 [teraz by som musel pospekulovat nad tym forwardingom = routingom medzi 192.168.xx.yy sietkami] Nie je ziadny problem tak ako to mas, len pri vyssom trafficu zbytocna zataz procesoru.
Ahoj, teraz som si narychlo urobil

virtual AP 192.168.2.0/24
Hnusny bridž (nemal som cas) 192.168.88.0/24

ked som pravidlo nemal veselo som pingoval z NB do telefonu na Virtualke... ked som ho zapol, uz som sa nedopingoval
Mobo Asus PRIME B450 Plus CPU Ryzen 7 5800X3D (Noctua NH-U12S + dual fan Noctua NF-A12) GPU MSI GeForce RTX 3070 Ventus 3X RAM G.Skill Ripjaws V F4-4000C18D-32GVK SSD Silicon Power P34A80 CASE Lancool 205 PSU Corsair RM550x case cooling: exhaust 2x Noctua F12, in-take 2x Lian Li 120mm

NB: Dell E7470 Skylake Core i5 + 16GB RAM + FHD IPS Foun: Oppo Reno 5Z
Main server: Asus PRIME A320M-K + Ryzen 5 2600 + GTX 1660Ti + 32GB Ram
NAS: QNAP TS-128 - 2TB Seagate Iron Wolf + MikroTik RB952
Peripherals: Dual monas setup 27" Samsung Odyssey G5 and AOC I2470Sw + Steelseries Apex 5 + Steelseries Rival 3 + QcK + Logitech G435
mp3turbo
Pokročilý používateľ
Pokročilý používateľ
Príspevky: 12262
Dátum registrácie: St 27. Apr, 2011, 11:16
Bydlisko: ta Blava, ňe ?

Re: MikroTik - zrusenie bridge (default SOHO settings)

Príspevok od používateľa mp3turbo »

pravda, lebo som zlahka rozmyslal (a neviem preco) nad pravidlom 24 - mas tam napisane ze vstupny interface musi byt ETHER1 na to, aby sa akykolvek traffic prechadzajuci cez Mikrotik (forward) zahodil. Cize, co je do toho momentu povolene je povolene, pravidlo 24 zahodi vsetko co by chcelo ist Z ether1 do hociktorej siete a doteraz povolene nebolo.

Cize, keby pravidlo 24 znelo chain=forward action=drop a nebol by tam definovany in-interface=ether1, spravilo by to vec ktoru som popisal. Zakazalo by trafficu z jednej tcp/ip siete behat do druhej. Pouzitim toho ether1 si vlastne "zalimitoval" alebo "obmedzil" rozsah tomu pravidlu, cize nezahadzuje tak vela veci ako by mohlo zahadzovat. V pravidle 23 vidim "drop forward" akurat ze podla popisu TIPUJEM ZE NEVIDIM INVALID, cize to pravidlo tak ako je zobrazene je nekompletne. Holt, preto mam rad commandlajnu. Winbox som v zivote nepouzil.

Ja vsetky veci robim sposobom : zahodit uplne vsetko, a potom po jednej pridavam co ma byt povolene. Tak sa mi nestane ze niekedy v buducnosti pridam dalsi interface, alebo siet, alebo virtualne radio alebo cokolvek, a zabudnem resp. nemyslim na nasledky co sa tyka firewallingu a bezpecnosti. Holt, deformacia.

Presne ako som napisal, musel by som pospekuloval nad tym firewallingom a toto je dovod. Velmi rychlo som to prebehol ocami. Inak plati co som povedal az dokial sa nenajde dalsia chyba ;)
Som matematik... Vzrusuju ma cisla, napriklad 8300 na otackomeri alebo 2,15 baru z kompresora a este aj 1-12-5-8-3-10-6-7-2-11-4-9.
Používateľov profilový obrázok
16cmfan
VIP
VIP
Príspevky: 3601
Dátum registrácie: Ne 12. Júl, 2009, 09:31
Bydlisko: Bardejov

Re: MikroTik - zrusenie bridge (default SOHO settings)

Príspevok od používateľa 16cmfan »

Pockaj, tu mas vypis ako sa patri, konzolovy! ;)

Kód: Vybrať všetko

1    chain=forward action=accept connection-state=established 
      in-interface=ether1 

 2    chain=forward action=accept connection-state=related in-interface=ether1 

 3    chain=forward action=accept connection-state=established,related log=no 
      log-prefix="" 

 4    ;;; PINGUJESE ZIJES!
      chain=input action=accept protocol=icmp log=no log-prefix="" 

 5    chain=input action=accept connection-state=established 

 6    chain=input action=accept connection-state=related 

 7    ;;; VZDIALENY PRISTUP Z WINBOXu
      chain=input action=accept protocol=tcp dst-port=8291 log=no log-prefix="" 

 8    ;;; POVOLIT PPTP na port 1723
      chain=input action=accept protocol=tcp dst-port=1723 log=no log-prefix="" 

 9    ;;; POVOLIT PPTP na protocole 47
      chain=input action=accept protocol=gre log=no log-prefix="" 

10    ;;; POVOLIT NESTASTNIKOM DNS cez TCP
      chain=input action=accept protocol=tcp src-address=192.168.60.0/24 
      dst-port=53 log=no log-prefix="" 

11    ;;; POVOLIT NESTASTNIKOM DNS cez UDP
      chain=input action=accept protocol=udp src-address=192.168.60.0/24 
      dst-port=53 log=no log-prefix="" 

12    ;;; BLOKUJ VSETKY POZIADAVKY NA MOJE DNS Z VONKU (tcp)
      chain=input action=drop connection-state=new protocol=tcp 
      in-interface=ether1 dst-port=53 log=no log-prefix="" 

13    ;;; BLOKUJ VSETKY POZIADAVKY NA MOJE DNS Z VONKU (udp)
      chain=input action=drop connection-state=new protocol=udp 
      in-interface=ether1 dst-port=53 log=no log-prefix="" 

14    ;;; ZAKAZ WEB Z VONKU
      chain=input action=drop protocol=tcp in-interface=ether1 dst-port=80 
      log=no log-prefix="" 

15    ;;; UKAZAT PROSTREDNICKEK PRI POKUSE O LOGIN NA MIKROTICEK
      chain=input action=drop src-address=192.168.60.0/24 log=no log-prefix="" 

16    chain=input action=drop protocol=tcp src-address=192.168.60.0/24 
      dst-port=8291 log=no log-prefix="" 

17    ;;; SUKROMIE JE CENNE
      chain=forward action=reject reject-with=icmp-admin-prohibited 
      src-address=192.168.60.0/24 dst-address=192.168.2.0/24 log=no 
      log-prefix="" 

18    chain=forward action=reject reject-with=icmp-admin-prohibited 
      src-address=192.168.60.0/24 dst-address=192.168.3.0/24 log=no 
      log-prefix="" 

19    chain=forward action=reject reject-with=icmp-admin-prohibited 
      src-address=192.168.60.0/24 dst-address=192.168.4.0/24 log=no 
      log-prefix="" 

20    chain=forward action=reject reject-with=icmp-admin-prohibited 
      src-address=192.168.60.0/24 dst-address=192.168.5.0/24 log=no 
      log-prefix="" 

21    chain=forward action=reject reject-with=icmp-network-unreachable 
      src-address=192.168.60.0/24 dst-address=192.168.24.0/24 log=no 
      log-prefix="" 

22    chain=forward action=reject reject-with=icmp-admin-prohibited 
      src-address=192.168.60.0/24 dst-address=192.168.50.0/24 log=no 
      log-prefix="" 

23    ;;; defconf: drop invalid
      chain=forward action=drop connection-state=invalid log=no log-prefix="" 

24    ;;; defconf:  drop all from WAN not DSTNATed
      chain=forward action=drop connection-state=new 
      connection-nat-state=!dstnat in-interface=ether1 log=no log-prefix="" 

25    chain=input action=drop in-interface=ether1 log=no log-prefix="" 
Mobo Asus PRIME B450 Plus CPU Ryzen 7 5800X3D (Noctua NH-U12S + dual fan Noctua NF-A12) GPU MSI GeForce RTX 3070 Ventus 3X RAM G.Skill Ripjaws V F4-4000C18D-32GVK SSD Silicon Power P34A80 CASE Lancool 205 PSU Corsair RM550x case cooling: exhaust 2x Noctua F12, in-take 2x Lian Li 120mm

NB: Dell E7470 Skylake Core i5 + 16GB RAM + FHD IPS Foun: Oppo Reno 5Z
Main server: Asus PRIME A320M-K + Ryzen 5 2600 + GTX 1660Ti + 32GB Ram
NAS: QNAP TS-128 - 2TB Seagate Iron Wolf + MikroTik RB952
Peripherals: Dual monas setup 27" Samsung Odyssey G5 and AOC I2470Sw + Steelseries Apex 5 + Steelseries Rival 3 + QcK + Logitech G435
mp3turbo
Pokročilý používateľ
Pokročilý používateľ
Príspevky: 12262
Dátum registrácie: St 27. Apr, 2011, 11:16
Bydlisko: ta Blava, ňe ?

Re: MikroTik - zrusenie bridge (default SOHO settings)

Príspevok od používateľa mp3turbo »

no ved vravim, v pravidle 23 je hned vidiet ze je tam kvalifikator CONNECTION-STATE=invalid, co na tom prisprostastom grafickom obrazku nie je :)
Som matematik... Vzrusuju ma cisla, napriklad 8300 na otackomeri alebo 2,15 baru z kompresora a este aj 1-12-5-8-3-10-6-7-2-11-4-9.

Návrat na "Siete"