modified on 20 lip 2010 at 12:41 ••• 10 715 views

IP/Firewall/Lista Adresów

Z MikroTik Wiki

Spis treści

Opis Ogólny

Wprowadzenie

Lista adresów firewalla umożliwia tworzenie listy adresów IP używanych podczas dopasowywania pakietów (packet matching).

Specyfikacja

Wymagany pakiet: system

Wymagana licencja: Level1

Poziom menu: /ip firewall address-list

Standardy i technologie: IP

Wykorzystanie sprzętu: znikome

Lista Adresów

Opis

Lista adresów firwalla pozwala użytkownikom na tworzenie listy adresów IP pogrupowanych razem. Filtr firewalla, markowanie pakietów i NAT mogą używać listy adresów do dopasowywania pakietów do nich.

Wpisy listy adresów mogą być aktualizowane dynamicznie przez elementy action=add-src-to-address-list lub action=add-dst-to-address-list znalezione w usługach NAT, markowania i filtrowania.

Opis własności

address (IP address/netmask | IP address-IP address) - określa adres IP lub zakres adresów IP, które mają być dodane do listy adresów. Pamiętaj, że konsola konwertuje wpisane wartości address/netmask na poprawne adresy sieci, np 1.1.1.1/24 konwertowany jest na 1.1.1.0/24.

list (name) - określa nazwę listy adresów, do której dodawane są adresy IP

Przykład

Poniższy przykład tworzy listę adresów ludzi, którzy połączeni są z portem 23 (telnet) na routerze i upuszcza od nich cały dalszy ruch. Dodatkowo, lista adresów będzie zawierać jeden statyczny wpis address=192.0.34.166/32:

[admin@MikroTik] > /ip firewall address-list add list=drop_traffic address=192.0.34.166/32
[admin@MikroTik] > /ip firewall address-list print
Flags: X - disabled, D - dynamic
 #   LIST         ADDRESS
 0   drop_traffic 192.0.34.166
[admin@MikroTik] > /ip firewall mangle add chain=prerouting protocol=tcp dst-port=23 \
\... action=add-src-to-address-list address-list=drop_traffic
[admin@MikroTik] > /ip firewall filter add action=drop chain=input src-address-list=drop_traffic
[admin@MikroTik] > /ip firewall address-list print
Flags: X - disabled, D - dynamic
 #   LIST         ADDRESS
 0   drop_traffic 192.0.34.166
 1 D drop_traffic 1.1.1.1
 2 D drop_traffic 10.5.11.8
[admin@MikroTik] >

Jak widać na wyjściu ostatniego polecenia print, dwa nowe dynamiczne wpisy pojawiły się na liście adresów. Hosty o takich adresach IP próbują zainicjować sesję telnet z routerem.