Mikrotik

wszystko inne - NIE licząc sprzętu typu SOHO!!!
ODPOWIEDZ
Wiadomość
Autor
Kyniu
wannabe
wannabe
Posty: 3595
Rejestracja: 04 lis 2006, 16:23
Kontakt:
Skontaktuj się z Kyniu

Mikrotik

#1

#1 Post autor: Kyniu »

Hej,

Zdaje się że jest tu kilku speców od Mikrotika a właśnie poznaje te platformę i mam kilka pytań, szczególnie właśnie do osób które znają i Cisco i Mikrotika. Bo na razie patrze na niego przez pryzmat Cisco i kilka rzeczy jest dla mnie nie do końca jasnych.

Na początek byłbym zobowiązany za wyjaśnienie moich wątpliwości odnośnie firewall'a. Powiedzmy że chcę stworzyć odpowiednik ACL która odpowiadałaby za dostęp po SSH z konkretnego adresu (adresów) blokując wszystkie inne. Wiem że w Mikrotiku można przypisać do usługi SSH adres (analogicznie jak na line vty w Cisco) z którego będzie można się dostać do routera po SSH ale akurat to że pisze o SSH to przykład. Czyli na Cisco powiedzmy wyglądałoby to tak:

Kod: Zaznacz cały

access-list 100 permit tcp host 80.81.82.83 any eq 22
access-list 100 deny tcp any any eq 22
Teraz pytanie czy taki zapis w Mikrotiku jest równoważny powyższemu:

Kod: Zaznacz cały

chain=input action=accept protocol=tcp src-address=80.81.82.83  in-interface=ether1-gateway dst-port=22
chain=input action=drop protocol=tcp in-interface=ether1-gateway dst-port=22
I kolejne pytania:
- czy nie należy w jakiś sposób poinformować Mikrotika że src-address=80.81.82.83 to jest jeden konkretny host np. poprzez zapis src-address=80.81.82.83/32
- czy w drugiej regule (drop) można nie podawać src-address by brane były pod uwagę wszystkie pakiety czy też należałoby dodać do tej reguły zapis src-address=0.0.0.0/0

Niestety ale dokumentacja Mikrotika jest moim zdaniem nieprecyzyjna w bardzo wielu miejscach :-(

Kyniu
Na górę
Awatar użytkownika
Wlochaty
wannabe
wannabe
Posty: 492
Rejestracja: 30 wrz 2006, 17:11
Lokalizacja: Warszawa

#2

#2 Post autor: Wlochaty »

Niestety z Mikrotikiem od roku mam mały kontakt, ale to co chcesz osiagnac da sie zrobic bardzo latwo przy uzyciu Winboxa. Sciagnij ta nakladke, znajdz cos co sie nazywa "service" (chyba jest w zakladce IP) tam bedziesz mogl zobaczyc jakie uslugi sa odpalone:
SSH
Telnet
WInbox
HTTP

przy kazdej z usług bedzie port, ktory mozesz edytowac, bedzie tez pole na adres ktory ustalasz jako dopuszczony do logowania.

Pod konsola szukaj w /ip services , wpisz print i zobacz jak to wyglada.
Przydatny link:
http://www.mikrotik.com/testdocs/ros/2.9/ip/service.php

[update]
sładnia bedzie wygladac mniej wiecej tak:
/ip service
set 3 port=22 address=XX.XX.XX.XX/32
Wlochaty
Na górę
Kyniu
wannabe
wannabe
Posty: 3595
Rejestracja: 04 lis 2006, 16:23
Kontakt:
Skontaktuj się z Kyniu

#3

#3 Post autor: Kyniu »

Wlochaty pisze:ale to co chcesz osiagnac da sie zrobic bardzo latwo przy uzyciu Winboxa. Sciagnij ta nakladke, znajdz cos co sie nazywa "service" (chyba jest w zakladce IP) tam bedziesz mogl zobaczyc jakie uslugi sa odpalone:
Winbox'a mam. Jak pisałem wiem że można to zrobić z poziomu services ale ta pozycja ma jedno kluczowe ograniczenie - można wprowadzić jeden adres tudzież jedną podsieć z której można korzystać z danej usługi. No i dotyczy to usług z listy. Dlatego pisałem by się nie sugerować że podałem SSH jako przykład. Równie dobrze zamiast o porcie 22 mógłbym pisać o porcie 56789.

Kyniu
Na górę
ODPOWIEDZ

Wróć do „Pozostałe”