modified on 2 gru 2009 at 12:07 ••• 37 346 views

Skrypty

Z MikroTik Wiki

  • Ulepszony Netwatch
  • Filter a command output
  • Enable and Disable P2P connections
  • Send Backup email
  • Limiting a user to a given amount of traffic (using firewall)
  • Limiting a user to a given amount of traffic II (using queues)
  • Limiting a user to a given amount of traffic with user levels (using queues)
  • Generate bogons firewall chain based on routing-marks
  • Generate routes for stress testing BGP functionality
  • Set global and local variables
  • Dynamic DNS Update Script for ChangeIP.com
  • Reset Hotspot user count
  • Use SSH to execute commands (DSA key login)
  • Audible signal test
  • ECMP Failover Script
  • Sending text out over a serial port
  • Setting static DNS record for each DHCP lease
  • Improved Netwatch
  • Scheduled disconnect for WAN-Interface e.g. DSL
  • Semi-automatic system-update by script


Znalezione w sieci skrypty i configi

Gość




PostWysłany: Czw Sie 11, 2005 3:40 pm Temat postu: Znalezione w sieci skrypty i configi :D Odpowiedz z cytatem Zmień/Usuń ten post Usuń ten post Zobacz IP autora Zakładam post żeby można było tu wrzucać to co znalazłem Smile Na początek wycięcie portów na których działają wirusy (nie all)

      • START

ip firewall add name=virus ip firewall rule input add in-interface=all action=jump \ jump-target=virus comment="!!! Check for well-known viruses !!!" ip firewall rule forward add in-interface=all action=jump \ jump-target=virus comment="!!! Check for well-known viruses !!!"

ip firewall rule virus add dst-address=:135-139 protocol=tcp action=drop comment="Drop Blaster Worm." ip firewall rule virus add dst-address=:135-139 protocol=udp action=drop comment="Drop Messenger Worm." ip firewall rule virus add dst-address=:445 protocol=tcp action=drop comment="Drop Blaster Worm." ip firewall rule virus add dst-address=:445 protocol=udp action=drop comment="Drop Blaster Worm." ip firewall rule virus add dst-address=:593 protocol=tcp action=drop comment=".........." ip firewall rule virus add dst-address=:1024-1030 protocol=tcp action=drop comment=".........." ip firewall rule virus add dst-address=:1080 protocol=tcp action=drop comment="Drop MyDoom" ip firewall rule virus add dst-address=:1214 protocol=tcp action=drop comment=".........." ip firewall rule virus add dst-address=:1363 protocol=tcp action=drop comment="ndm requester" ip firewall rule virus add dst-address=:1364 protocol=tcp action=drop comment="ndm server" ip firewall rule virus add dst-address=:1368 protocol=tcp action=drop comment="screen cast" ip firewall rule virus add dst-address=:1373 protocol=tcp action=drop comment="hromgrafx" ip firewall rule virus add dst-address=:1377 protocol=tcp action=drop comment="cichlid" ip firewall rule virus add dst-address=:1433-1434 protocol=tcp action=drop comment="Worm" ip firewall rule virus add dst-address=:2745 protocol=tcp action=drop comment="Bagle Virus" ip firewall rule virus add dst-address=:2283 protocol=tcp action=drop comment="Drop Dumaru.Y" ip firewall rule virus add dst-address=:2535 protocol=tcp action=drop comment="Drop Beagle" ip firewall rule virus add dst-address=:3127-3128 protocol=tcp action=drop comment="Drop MyDoom" ip firewall rule virus add dst-address=:3410 protocol=tcp action=drop comment="Drop Backdoor OptixPro" ip firewall rule virus add dst-address=:4444 protocol=tcp action=drop comment="Worm" ip firewall rule virus add dst-address=:4444 protocol=udp action=drop comment="Worm" ip firewall rule virus add dst-address=:5554 protocol=tcp action=drop comment="Drop Sasser" ip firewall rule virus add dst-address=:8866 protocol=tcp action=drop comment="Drop Beagle.B" ip firewall rule virus add dst-address=:10000 protocol=tcp action=drop comment="Drop Dumaru.Y" ip firewall rule virus add dst-address=:10080 protocol=tcp action=drop comment="Drop MyDoom.B" ip firewall rule virus add dst-address=:12345 protocol=tcp action=drop comment="Drop NetBus" ip firewall rule virus add dst-address=:17300 protocol=tcp action=drop comment="Drop Kuang2" ip firewall rule virus add dst-address=:27374 protocol=tcp action=drop comment="Drop SubSeven" ip firewall rule virus add dst-address=:65506 protocol=tcp action=drop comment="Drop PhatBot, Agobot, Gaobot"

  • END

Powrót do góry

Gość




PostWysłany: Czw Sie 11, 2005 3:42 pm Temat postu: Odpowiedz z cytatem Zmień/Usuń ten post Usuń ten post Zobacz IP autora Włączenie p2p pod żądanym adresem, oczywiście jeśli ruch taki jest wycięty Smile

/ip firewall rule forward add src-address=x.x.x.x/32 p2p=all-p2p /ip firewall rule forward add dst-address=x.x.x.x/32 p2p=all-p2p

Oczywiście x.x.x.x jest adresem w sieci lokalnej Very Happy Powrót do góry

Gość




PostWysłany: Czw Sie 11, 2005 3:46 pm Temat postu: Odpowiedz z cytatem Zmień/Usuń ten post Usuń ten post Zobacz IP autora Przekierowaniee portu (w tym wypadku emule) pod adres. Very Happy

/ip firewall dst-nat add src-address=0.0.0.0 dst-port=4662 protocol=tcp action=nat to-dst-address=x.x.x.x to-dst-port=4662

Czyli w skrócie all co wchodzi na port 4662 na MT idzie ładnie do x.x.x.x

Uwaga Smile HighID Powrót do góry

Gość




PostWysłany: Czw Sie 11, 2005 3:52 pm Temat postu: Odpowiedz z cytatem Zmień/Usuń ten post Usuń ten post Zobacz IP autora Nadanie adresowi y.y.y.y z sieci lokalnej zewnętrznego adresu ip Very Happy Oczywiście x.x.x.x to jest adres z dostępnej puli adresów


/ip address add address=x.x.x.x/24 interface=ether1 /ip firewall dst-nat add dst-address=x.x.x.x/32 action=nat to-dst-address=y.y.y.y /ip firewall src-nat add src-address=y.y.y.y/32 action=nat to-src-address=x.x.x.x Powrót do góry

Gość




PostWysłany: Czw Sie 11, 2005 3:57 pm Temat postu: Odpowiedz z cytatem Zmień/Usuń ten post Usuń ten post Zobacz IP autora Blokowanie p2p pod dany adres

/ip firewall rule forward add src-address=x.x.x.x p2p=all-p2p action=drop

Narazie styka Very Happy

Wcześniej podawałem skrypt włacz-wyłącz p2p oraz reboot MT o żądanej godzinie Smile

Jeszcze coś tam mam Smile Mam nadzieję że sie zrewanżujecie Very Happy choć to forum jest ciche Powrót do góry

Gość




PostWysłany: Sob Wrz 10, 2005 8:59 am Temat postu: Odpowiedz z cytatem Zmień/Usuń ten post Usuń ten post Zobacz IP autora Anonymous napisał: Przekierowaniee portu (w tym wypadku emule) pod adres. Very Happy

/ip firewall dst-nat add src-address=0.0.0.0 dst-port=4662 protocol=tcp action=nat to-dst-address=x.x.x.x to-dst-port=4662

Czyli w skrócie all co wchodzi na port 4662 na MT idzie ładnie do x.x.x.x

Uwaga Smile HighID


A mam male pytanie - jak sformulowac ta komende tak, aby przekierowanie dotyczylo zakresu portow (np. 1-1024)? Gdy wpisywalem zamiast pojedynczego nr-u portu zapis 1-1024, padal internet w calej sieci... Powrót do góry

zick Gość




PostWysłany: Nie Wrz 11, 2005 11:36 pm Temat postu: Odpowiedz z cytatem Zmień/Usuń ten post Usuń ten post Zobacz IP autora odfiltrowanie i ewentualne zablokowanie np. postow GG zawierających niecenzuralne wyrażenia Smile

/ ip firewall mangle add content=XXXXX action=accept mark-flow=cenz1 comment="oznacz pakiet z XXXXX" disabled=no

/ ip firewall rule forward add in-interface=ether1 dst-address=:443 out-interface=WAN protocol=tcp action=jump \ jump-target=filtr-GG comment="!!! FILTR GG !!! LOKALNE port 443" disabled=no add in-interface=ether1 dst-address=:8074 out-interface=WAN protocol=tcp action=jump \ jump-target=filtr-GG comment="!!! FILTR GG !!! LOKALNE port 8074" disabled=no

/ ip firewall rule filtr-GG add flow=cenz1 action=drop log=yes comment="" disabled=no add action=return comment="Odfiltrowane czyste GG" disabled=no [admin@router.inet] ip firewall rule filtr-GG> Powrót do góry

zick Gość




PostWysłany: Nie Wrz 11, 2005 11:49 pm Temat postu: Odpowiedz z cytatem Zmień/Usuń ten post Usuń ten post Zobacz IP autora zapomniałem o

/ip firewall add name=filtr-GG Very Happy Powrót do góry

Gość




PostWysłany: Czw Wrz 15, 2005 10:31 pm Temat postu: Odpowiedz z cytatem Zmień/Usuń ten post Usuń ten post Zobacz IP autora Anonymous napisał: Anonymous napisał: Przekierowaniee portu (w tym wypadku emule) pod adres. Very Happy

/ip firewall dst-nat add src-address=0.0.0.0 dst-port=4662 protocol=tcp action=nat to-dst-address=x.x.x.x to-dst-port=4662

Czyli w skrócie all co wchodzi na port 4662 na MT idzie ładnie do x.x.x.x

Uwaga Smile HighID


A mam male pytanie - jak sformulowac ta komende tak, aby przekierowanie dotyczylo zakresu portow (np. 1-1024)? Gdy wpisywalem zamiast pojedynczego nr-u portu zapis 1-1024, padal internet w calej sieci...


1 dodać adrsesy źródłowe dla ktoych chcemy przekierować porty albo 2 oznaczyć połączenie dla danego IP w mangle , potem oznaczyć strumień z tego połączenia i perzekierować porty dla tego strumienia

teoria - nie bawiłem się ale myślę , że bedzie cykać jeśli odpowiednio skonfigurujesz Powrót do góry

zick.pl Gość




PostWysłany: Czw Wrz 15, 2005 10:33 pm Temat postu: Odpowiedz z cytatem Zmień/Usuń ten post Usuń ten post Zobacz IP autora Anonymous napisał: Anonymous napisał: Anonymous napisał: Przekierowaniee portu (w tym wypadku emule) pod adres. Very Happy

/ip firewall dst-nat add src-address=0.0.0.0 dst-port=4662 protocol=tcp action=nat to-dst-address=x.x.x.x to-dst-port=4662

Czyli w skrócie all co wchodzi na port 4662 na MT idzie ładnie do x.x.x.x

Uwaga Smile HighID


A mam male pytanie - jak sformulowac ta komende tak, aby przekierowanie dotyczylo zakresu portow (np. 1-1024)? Gdy wpisywalem zamiast pojedynczego nr-u portu zapis 1-1024, padal internet w calej sieci...


1 dodać adrsesy źródłowe dla ktoych chcemy przekierować porty albo 2 oznaczyć połączenie dla danego IP w mangle , potem oznaczyć strumień z tego połączenia i perzekierować porty dla tego strumienia

teoria - nie bawiłem się ale myślę , że bedzie cykać jeśli odpowiednio skonfigurujesz Powrót do góry

Gość




PostWysłany: Pią Paź 07, 2005 7:00 am Temat postu: Odpowiedz z cytatem Zmień/Usuń ten post Usuń ten post Zobacz IP autora No cóż jest 02.47 spać mi się nie chce, zainspirowany postanowiłem zrobić skrypt włączający wyłączający p2p pod zadanym adresem

Pod spodem opis Sorry że taki mieszany pod telnet i winboxa ale jeszcze nie wiem jak wklepywać skrypty z poziomu telnetu.

      1. Dodajemy do ip firewall rule forward 2 reguły zezwalające na p2p pod adresem 192.168.100.10 oczywiście z poziomu telnetu

/ip firewall rule forward add src-address=192.168.100.10/32 p2p=all-p2p comment=10p2p /ip firewall rule forward add dst-address=192.168.100.10/32 p2p=all-p2p comment=10p2p

      1. Następnie w scheduler zaznaczamy o której godzinie mają być ###uruchamiane poszczególne skrypty oczywiście pod telnetem

/system scheduler add interval=24h name="enable_10p2p" start-time=20:00:00 on-event=p2p_10_enable

      1. Uruchamiamy p2p pod adresem 192.168.100.10 o godzinie 20:00

/system scheduler add interval=24h name="disable_10p2p" start-time=7:00:00 on-event=p2p_10_disable

      1. No i o godzinie 7:00 wyłączamy
      2. Wchodzimy w scripts z poziomu Winboxa i dodajemy skrypt pod ###nazwą p2p_10_disable,a w okno source wpisujemy

/ip firewall rule forward {disable [find comment=10p2p]}

      1. Póżniej dodajemy nowy skrypt pod nazwą p2p_10_enable,a w okno ###source wpisujemy

/ip firewall rule forward {enable [find comment=10p2p]}


I to tyle Sprawdzone pod MT2.8.26 Powodzenia@ Copyrights Gularz_pl Powrót do góry

Gość




PostWysłany: Sro Gru 07, 2005 12:14 pm Temat postu: Re: Znalezione w sieci skrypty i configi :D Odpowiedz z cytatem Zmień/Usuń ten post Usuń ten post Zobacz IP autora Anonymous napisał: Zakładam post żeby można było tu wrzucać to co znalazłem Smile Na początek wycięcie portów na których działają wirusy (nie all)

      • START

ip firewall add name=virus ip firewall rule input add in-interface=all action=jump \ jump-target=virus comment="!!! Check for well-known viruses !!!" ip firewall rule forward add in-interface=all action=jump \ jump-target=virus comment="!!! Check for well-known viruses !!!"

ip firewall rule virus add dst-address=:135-139 protocol=tcp action=drop comment="Drop Blaster Worm." ip firewall rule virus add dst-address=:135-139 protocol=udp action=drop comment="Drop Messenger Worm." ip firewall rule virus add dst-address=:445 protocol=tcp action=drop comment="Drop Blaster Worm." ip firewall rule virus add dst-address=:445 protocol=udp action=drop comment="Drop Blaster Worm." ip firewall rule virus add dst-address=:593 protocol=tcp action=drop comment=".........." ip firewall rule virus add dst-address=:1024-1030 protocol=tcp action=drop comment=".........." ip firewall rule virus add dst-address=:1080 protocol=tcp action=drop comment="Drop MyDoom" ip firewall rule virus add dst-address=:1214 protocol=tcp action=drop comment=".........." ip firewall rule virus add dst-address=:1363 protocol=tcp action=drop comment="ndm requester" ip firewall rule virus add dst-address=:1364 protocol=tcp action=drop comment="ndm server" ip firewall rule virus add dst-address=:1368 protocol=tcp action=drop comment="screen cast" ip firewall rule virus add dst-address=:1373 protocol=tcp action=drop comment="hromgrafx" ip firewall rule virus add dst-address=:1377 protocol=tcp action=drop comment="cichlid" ip firewall rule virus add dst-address=:1433-1434 protocol=tcp action=drop comment="Worm" ip firewall rule virus add dst-address=:2745 protocol=tcp action=drop comment="Bagle Virus" ip firewall rule virus add dst-address=:2283 protocol=tcp action=drop comment="Drop Dumaru.Y" ip firewall rule virus add dst-address=:2535 protocol=tcp action=drop comment="Drop Beagle" ip firewall rule virus add dst-address=:3127-3128 protocol=tcp action=drop comment="Drop MyDoom" ip firewall rule virus add dst-address=:3410 protocol=tcp action=drop comment="Drop Backdoor OptixPro" ip firewall rule virus add dst-address=:4444 protocol=tcp action=drop comment="Worm" ip firewall rule virus add dst-address=:4444 protocol=udp action=drop comment="Worm" ip firewall rule virus add dst-address=:5554 protocol=tcp action=drop comment="Drop Sasser" ip firewall rule virus add dst-address=:8866 protocol=tcp action=drop comment="Drop Beagle.B" ip firewall rule virus add dst-address=:10000 protocol=tcp action=drop comment="Drop Dumaru.Y" ip firewall rule virus add dst-address=:10080 protocol=tcp action=drop comment="Drop MyDoom.B" ip firewall rule virus add dst-address=:12345 protocol=tcp action=drop comment="Drop NetBus" ip firewall rule virus add dst-address=:17300 protocol=tcp action=drop comment="Drop Kuang2" ip firewall rule virus add dst-address=:27374 protocol=tcp action=drop comment="Drop SubSeven" ip firewall rule virus add dst-address=:65506 protocol=tcp action=drop comment="Drop PhatBot, Agobot, Gaobot"

  • END


Czy ktoś próbował to przerobić na wesję 2.9..... Powrót do góry

Gość




PostWysłany: Sro Gru 07, 2005 1:31 pm Temat postu: Odpowiedz z cytatem Zmień/Usuń ten post Usuń ten post Zobacz IP autora Pod MT 2.9.6 jest tak / ip firewall filter add chain=input action=jump jump-target="virus comment=\"!!! Check for well-known viruses !!!\"" comment="" disabled=no add chain=forward action=jump jump-target="virus comment=\"!!! Check for well-known viruses !!!\"" comment="" \ disabled=no add chain="virus comment=\"!!! Check for well-known viruses !!!\"" protocol=tcp dst-port=135-139 action=drop \ comment="Drop Blaster Worm" disabled=no add chain="virus comment=\"!!! Check for well-known viruses !!!\"" protocol=udp dst-port=135-139 action=drop \ comment="Drop Messenger Worm" disabled=no add chain="virus comment=\"!!! Check for well-known viruses !!!\"" protocol=tcp dst-port=445 action=drop comment="Drop \ Blaster Worm." disabled=no add chain="virus comment=\"!!! Check for well-known viruses !!!\"" protocol=udp dst-port=445 action=drop comment="Drop \ Blaster Worm." disabled=no add chain="virus comment=\"!!! Check for well-known viruses !!!\"" protocol=tcp dst-port=593 action=drop \ comment="............." disabled=no add chain="virus comment=\"!!! Check for well-known viruses !!!\"" protocol=tcp dst-port=1024-1030 action=drop \ comment="............." disabled=no add chain="virus comment=\"!!! Check for well-known viruses !!!\"" protocol=tcp dst-port=1080 action=drop comment="Drop \ MyDoom" disabled=no add chain="virus comment=\"!!! Check for well-known viruses !!!\"" protocol=tcp dst-port=1214 action=drop \ comment="..............." disabled=no add chain="virus comment=\"!!! Check for well-known viruses !!!\"" protocol=tcp dst-port=1363 action=drop comment="ndm \ requester" disabled=no add chain="virus comment=\"!!! Check for well-known viruses !!!\"" protocol=tcp dst-port=1368 action=drop comment="ndm \ server" disabled=no add chain="virus comment=\"!!! Check for well-known viruses !!!\"" protocol=tcp dst-port=1368 action=drop \ comment="screen cast" disabled=no add chain="virus comment=\"!!! Check for well-known viruses !!!\"" protocol=tcp dst-port=1373 action=drop \ comment="hromgrafx" disabled=no add chain="virus comment=\"!!! Check for well-known viruses !!!\"" protocol=tcp dst-port=1377 action=drop \ comment="cichlid" disabled=no add chain="virus comment=\"!!! Check for well-known viruses !!!\"" protocol=tcp dst-port=1433-1434 action=drop \ comment="Worm" disabled=no add chain="virus comment=\"!!! Check for well-known viruses !!!\"" protocol=tcp dst-port=2745 action=drop comment="Bagle \ Virus" disabled=no add chain="virus comment=\"!!! Check for well-known viruses !!!\"" protocol=tcp dst-port=2283 action=drop comment="Drop \ Dumaru.Y" disabled=no add chain="virus comment=\"!!! Check for well-known viruses !!!\"" protocol=tcp dst-port=2535 action=drop comment="Drop \ Beagle" disabled=no add chain="virus comment=\"!!! Check for well-known viruses !!!\"" protocol=tcp dst-port=3127-3128 action=drop \ comment="Drop MyDoom" disabled=no add chain="virus comment=\"!!! Check for well-known viruses !!!\"" protocol=tcp dst-port=3410 action=drop comment="Drop \ Backdoor OptixPro" disabled=no add chain="virus comment=\"!!! Check for well-known viruses !!!\"" protocol=tcp dst-port=4444 action=drop comment="Worm" \ disabled=no add chain="virus comment=\"!!! Check for well-known viruses !!!\"" protocol=udp dst-port=4444 action=drop comment="Worm" \ disabled=no add chain="virus comment=\"!!! Check for well-known viruses !!!\"" protocol=tcp dst-port=5554 action=drop comment="Drop \ Sasser" disabled=no add chain="virus comment=\"!!! Check for well-known viruses !!!\"" protocol=tcp dst-port=8866 action=drop comment="Drop \ Beagle.B" disabled=no add chain="virus comment=\"!!! Check for well-known viruses !!!\"" protocol=tcp dst-port=10000 action=drop comment="Drop \ Dumaru.Y" disabled=no add chain="virus comment=\"!!! Check for well-known viruses !!!\"" protocol=tcp dst-port=10080 action=drop comment="Drop \ MyDoom.B" disabled=no add chain="virus comment=\"!!! Check for well-known viruses !!!\"" protocol=tcp dst-port=12345 action=drop comment="Drop \ NetBus" disabled=no add chain="virus comment=\"!!! Check for well-known viruses !!!\"" protocol=tcp dst-port=17300 action=drop comment="Drop \ Kuang2" disabled=no add chain="virus comment=\"!!! Check for well-known viruses !!!\"" protocol=tcp dst-port=27374 action=drop comment="Drop \ SubSeven" disabled=no add chain="virus comment=\"!!! Check for well-known viruses !!!\"" protocol=tcp dst-port=65506 action=drop comment="Drop \ PhatBot, Agobot, Gaobot" disabled=no Powrót do góry

Silver


Dołączył: 18 Paź 2005 Posty: 75


PostWysłany: Sro Gru 07, 2005 1:36 pm Temat postu: Odpowiedz z cytatem Zmień/Usuń ten post Usuń ten post Zobacz IP autora Pod MT 2.9.6 jest tak / ip firewall filter add chain=input action=jump jump-target="virus comment=\"!!! Check for well-known viruses !!!\"" comment="" disabled=no add chain=forward action=jump jump-target="virus comment=\"!!! Check for well-known viruses !!!\"" comment="" \ disabled=no add chain="virus comment=\"!!! Check for well-known viruses !!!\"" protocol=tcp dst-port=135-139 action=drop \ comment="Drop Blaster Worm" disabled=no add chain="virus comment=\"!!! Check for well-known viruses !!!\"" protocol=udp dst-port=135-139 action=drop \ comment="Drop Messenger Worm" disabled=no add chain="virus comment=\"!!! Check for well-known viruses !!!\"" protocol=tcp dst-port=445 action=drop comment="Drop \ Blaster Worm." disabled=no add chain="virus comment=\"!!! Check for well-known viruses !!!\"" protocol=udp dst-port=445 action=drop comment="Drop \ Blaster Worm." disabled=no add chain="virus comment=\"!!! Check for well-known viruses !!!\"" protocol=tcp dst-port=593 action=drop \ comment="............." disabled=no add chain="virus comment=\"!!! Check for well-known viruses !!!\"" protocol=tcp dst-port=1024-1030 action=drop \ comment="............." disabled=no add chain="virus comment=\"!!! Check for well-known viruses !!!\"" protocol=tcp dst-port=1080 action=drop comment="Drop \ MyDoom" disabled=no add chain="virus comment=\"!!! Check for well-known viruses !!!\"" protocol=tcp dst-port=1214 action=drop \ comment="..............." disabled=no add chain="virus comment=\"!!! Check for well-known viruses !!!\"" protocol=tcp dst-port=1363 action=drop comment="ndm \ requester" disabled=no add chain="virus comment=\"!!! Check for well-known viruses !!!\"" protocol=tcp dst-port=1368 action=drop comment="ndm \ server" disabled=no add chain="virus comment=\"!!! Check for well-known viruses !!!\"" protocol=tcp dst-port=1368 action=drop \ comment="screen cast" disabled=no add chain="virus comment=\"!!! Check for well-known viruses !!!\"" protocol=tcp dst-port=1373 action=drop \ comment="hromgrafx" disabled=no add chain="virus comment=\"!!! Check for well-known viruses !!!\"" protocol=tcp dst-port=1377 action=drop \ comment="cichlid" disabled=no add chain="virus comment=\"!!! Check for well-known viruses !!!\"" protocol=tcp dst-port=1433-1434 action=drop \ comment="Worm" disabled=no add chain="virus comment=\"!!! Check for well-known viruses !!!\"" protocol=tcp dst-port=2745 action=drop comment="Bagle \ Virus" disabled=no add chain="virus comment=\"!!! Check for well-known viruses !!!\"" protocol=tcp dst-port=2283 action=drop comment="Drop \ Dumaru.Y" disabled=no add chain="virus comment=\"!!! Check for well-known viruses !!!\"" protocol=tcp dst-port=2535 action=drop comment="Drop \ Beagle" disabled=no add chain="virus comment=\"!!! Check for well-known viruses !!!\"" protocol=tcp dst-port=3127-3128 action=drop \ comment="Drop MyDoom" disabled=no add chain="virus comment=\"!!! Check for well-known viruses !!!\"" protocol=tcp dst-port=3410 action=drop comment="Drop \ Backdoor OptixPro" disabled=no add chain="virus comment=\"!!! Check for well-known viruses !!!\"" protocol=tcp dst-port=4444 action=drop comment="Worm" \ disabled=no add chain="virus comment=\"!!! Check for well-known viruses !!!\"" protocol=udp dst-port=4444 action=drop comment="Worm" \ disabled=no add chain="virus comment=\"!!! Check for well-known viruses !!!\"" protocol=tcp dst-port=5554 action=drop comment="Drop \ Sasser" disabled=no add chain="virus comment=\"!!! Check for well-known viruses !!!\"" protocol=tcp dst-port=8866 action=drop comment="Drop \ Beagle.B" disabled=no add chain="virus comment=\"!!! Check for well-known viruses !!!\"" protocol=tcp dst-port=10000 action=drop comment="Drop \ Dumaru.Y" disabled=no add chain="virus comment=\"!!! Check for well-known viruses !!!\"" protocol=tcp dst-port=10080 action=drop comment="Drop \ MyDoom.B" disabled=no add chain="virus comment=\"!!! Check for well-known viruses !!!\"" protocol=tcp dst-port=12345 action=drop comment="Drop \ NetBus" disabled=no add chain="virus comment=\"!!! Check for well-known viruses !!!\"" protocol=tcp dst-port=17300 action=drop comment="Drop \ Kuang2" disabled=no add chain="virus comment=\"!!! Check for well-known viruses !!!\"" protocol=tcp dst-port=27374 action=drop comment="Drop \ SubSeven" disabled=no add chain="virus comment=\"!!! Check for well-known viruses !!!\"" protocol=tcp dst-port=65506 action=drop comment="Drop \ PhatBot, Agobot, Gaobot" disabled=no _________________ pozdro www.silverpl.com Powrót do góry Zobacz profil autora Wyślij prywatną wiadomość Wyślij email Odwiedź stronę autora Gość




PostWysłany: Sro Gru 07, 2005 4:52 pm Temat postu: Odpowiedz z cytatem Zmień/Usuń ten post Usuń ten post Zobacz IP autora właśnie kombinowałem na winbox z poszczególnymi portami ale widzę że jest opracowane do terminala Very Happy wielkie dzięks

ość




PostWysłany: Sro Gru 07, 2005 4:54 pm Temat postu: Odpowiedz z cytatem Zmień/Usuń ten post Usuń ten post Zobacz IP autora kombinowałem przez winboxa ale widzę że jest opracowane na terminal Very Happy wielkie dzięks Powrót do góry

Gość




PostWysłany: Sro Gru 07, 2005 4:54 pm Temat postu: Odpowiedz z cytatem Zmień/Usuń ten post Usuń ten post Zobacz IP autora kombinowałem przez winboxa ale widzę że jest opracowane na terminal, wielkie dzięks Powrót do góry

Gość




PostWysłany: Wto Sty 24, 2006 1:48 am Temat postu: Odpowiedz z cytatem Zmień/Usuń ten post Usuń ten post Zobacz IP autora Is Back Very Happy

Obrona MT i sieci przed skanowaniem portów z zewnątrz, mozna jako chain dac forward wtedy broni wewnątrz sieci:D Uwaga któryś z p2p jest wykrywany wten sposób a wtedy gostek w sieci lokalnej z niej wylatuje Smile Można zrobić przekierowanko na strone www informującą o fakcie posiadania lub uzywania skanerów Very Happy


Wersja pod mt 2.9.x

/ip firewall filter add chain=input protocol=tcp psd=21,3s,3,1 action=add-src-to-address-list address-list="skaner port" address-list-timeout=2w comment="wykryj skaner portów i dodaj do black listy" \ disabled=no add chain=input src-address-list="skaner" action=drop comment="odrzuc połaczenia z skanującym" disabled=no

Jeśli chcecie zobaczyć ip w black liście lookajci ip firewall Address list

Pozdrawiam Gularz_pl Powrót do góry

Gość




PostWysłany: Wto Sty 24, 2006 2:05 am Temat postu: Odpowiedz z cytatem Zmień/Usuń ten post Usuń ten post Zobacz IP autora Anonymous napisał: Is Back Very Happy

Obrona MT i sieci przed skanowaniem portów z zewnątrz, mozna jako chain dac forward wtedy broni wewnątrz sieci:D Uwaga któryś z p2p jest wykrywany wten sposób a wtedy gostek w sieci lokalnej z niej wylatuje Smile Można zrobić przekierowanko na strone www informującą o fakcie posiadania lub uzywania skanerów Very Happy


Wersja pod mt 2.9.x

/ip firewall filter add chain=input protocol=tcp psd=21,3s,3,1 action=add-src-to-address-list address-list="skaner port" address-list-timeout=2w comment="wykryj skaner portów i dodaj do black listy" \ disabled=no add chain=input src-address-list="skaner" action=drop comment="odrzuc połaczenia z skanującym" disabled=no

Jeśli chcecie zobaczyć ip w black liście lookajci ip firewall Address list

Pozdrawiam Gularz_pl


Poprawka Very Happy add chain=input src-address-list="skaner port" action=drop comment="odrzuc połaczenia z skanującym" disabled=no Powrót do góry

oleq


Dołączył: 22 Sty 2006 Posty: 121


PostWysłany: Wto Sty 24, 2006 11:30 am Temat postu: Odpowiedz z cytatem Zmień/Usuń ten post Usuń ten post Zobacz IP autora Anonymous napisał: Is Back Very Happy

Obrona MT i sieci przed skanowaniem portów z zewnątrz, mozna jako chain dac forward wtedy broni wewnątrz sieci:D Uwaga któryś z p2p jest wykrywany wten sposób a wtedy gostek w sieci lokalnej z niej wylatuje Smile Można zrobić przekierowanko na strone www informującą o fakcie posiadania lub uzywania skanerów Very Happy


Wersja pod mt 2.9.x

/ip firewall filter add chain=input protocol=tcp psd=21,3s,3,1 action=add-src-to-address-list address-list="skaner port" address-list-timeout=2w comment="wykryj skaner portów i dodaj do black listy" \ disabled=no add chain=input src-address-list="skaner" action=drop comment="odrzuc połaczenia z skanującym" disabled=no

Jeśli chcecie zobaczyć ip w black liście lookajci ip firewall Address list

Pozdrawiam Gularz_pl


jakas szansa, ze to bedzie działac pod 2.8.x - zanim zaczne sie meczć?


pz Powrót do góry Zobacz profil autora Wyślij prywatną wiadomość Wyślij email oleq


Dołączył: 22 Sty 2006 Posty: 121


PostWysłany: Wto Sty 24, 2006 11:31 am Temat postu: Odpowiedz z cytatem Zmień/Usuń ten post Usuń ten post Zobacz IP autora Anonymous napisał: Is Back Very Happy

Obrona MT i sieci przed skanowaniem portów z zewnątrz, mozna jako chain dac forward wtedy broni wewnątrz sieci:D Uwaga któryś z p2p jest wykrywany wten sposób a wtedy gostek w sieci lokalnej z niej wylatuje Smile Można zrobić przekierowanko na strone www informującą o fakcie posiadania lub uzywania skanerów Very Happy


Wersja pod mt 2.9.x

/ip firewall filter add chain=input protocol=tcp psd=21,3s,3,1 action=add-src-to-address-list address-list="skaner port" address-list-timeout=2w comment="wykryj skaner portów i dodaj do black listy" \ disabled=no add chain=input src-address-list="skaner" action=drop comment="odrzuc połaczenia z skanującym" disabled=no

Jeśli chcecie zobaczyć ip w black liście lookajci ip firewall Address list

Pozdrawiam Gularz_pl


jakas szansa, ze to bedzie działac pod 2.8.x - zanim zaczne sie meczć?


pz Powrót do góry Zobacz profil autora Wyślij prywatną wiadomość Wyślij email Gość




PostWysłany: Czw Sty 26, 2006 12:57 am Temat postu: Odpowiedz z cytatem Zmień/Usuń ten post Usuń ten post Zobacz IP autora A moze ktos mi napisac skrypt na przekierowanie portow dla emulka na high id pod wersje 2.9.x ?! Jakos nie moge sobie poradzic z przepisaniem tego z 2.8.x Powrót do góry

czarny


Dołączył: 15 Sty 2006 Posty: 36


PostWysłany: Czw Sty 26, 2006 1:50 am Temat postu: Odpowiedz z cytatem Zmień/Usuń ten post Usuń ten post Zobacz IP autora Anonymous napisał: A moze ktos mi napisac skrypt na przekierowanie portow dla emulka na high id pod wersje 2.9.x ?! Jakos nie moge sobie poradzic z przepisaniem tego z 2.8.x



add chain=dstnat in-interface=Public src-address=0.0.0.0/0 dst-address=xxx.xxx.xxx.xxx protocol=udp dst-port=4672 action=dst-nat to-addresses=192.168.0.5 \ to-ports=0-65535 comment="emule" disabled=no add chain=dstnat in-interface=Public src-address=0.0.0.0/0 dst-address=xxx.xxx.xxx.xxx protocol=tcp dst-port=4662 action=dst-nat to-addresses=192.168.0.5 \ to-ports=0-65535 comment="emule" disabled=no

Gdzie xxx.xxx.xxx.xxx to Twój zewnętrzny adres IP.

Ludzie czytajcie forum, a nie czekacie na gotowca, osobiście wstawiałem to chyba w trzech różnych tematach. _________________ OSBRiDGE 24XLG+OSBRiDGE 5XLi+OSBRiDGE 5Gi Powrót do góry Zobacz profil autora Wyślij prywatną wiadomość Wyślij email MiruK Gość




PostWysłany: Czw Sty 26, 2006 1:26 pm Temat postu: Odpowiedz z cytatem Zmień/Usuń ten post Usuń ten post Zobacz IP autora Anonymous napisał: Is Back Very Happy

Obrona MT i sieci przed skanowaniem portów z zewnątrz, mozna jako chain dac forward wtedy broni wewnątrz sieci:D Uwaga któryś z p2p jest wykrywany wten sposób a wtedy gostek w sieci lokalnej z niej wylatuje Smile Można zrobić przekierowanko na strone www informującą o fakcie posiadania lub uzywania skanerów Very Happy


Wersja pod mt 2.9.x

/ip firewall filter add chain=input protocol=tcp psd=21,3s,3,1 action=add-src-to-address-list address-list="skaner port" address-list-timeout=2w comment="wykryj skaner portów i dodaj do black listy" \ disabled=no add chain=input src-address-list="skaner" action=drop comment="odrzuc połaczenia z skanującym" disabled=no

Jeśli chcecie zobaczyć ip w black liście lookajci ip firewall Address list

Pozdrawiam Gularz_pl

Na FORWARD tego nie dajcie bo wam zablokuje całą siec Very Happy Powrót do góry

Gość




PostWysłany: Czw Sty 26, 2006 7:32 pm Temat postu: Odpowiedz z cytatem Zmień/Usuń ten post Usuń ten post Zobacz IP autora Ehh kolego Miruk Jak zwykle nie czyta postu do końca Smile Przecież pisze o tym na samym początku, a pozatym zamiast action=drop daj action=log i zobaczysz konkretnie kto i co i po jakich portach lata Very Happy

Pozdrawiam Gularz_pl Powrót do góry

Gość




PostWysłany: Pią Sty 27, 2006 7:24 am Temat postu: Odpowiedz z cytatem Zmień/Usuń ten post Usuń ten post Zobacz IP autora Gularz_pl moglbys jakos wklepac swoj konfig mt co do kolejkowania i priorytetowania, ablo calosc w celach edukacyjnych... ?! No albo na maila ?! Powrót do góry

MiruK Gość




PostWysłany: Pią Sty 27, 2006 11:44 am Temat postu: Odpowiedz z cytatem Zmień/Usuń ten post Usuń ten post Zobacz IP autora OK. szacunek dla Gularza:) Pozdrawiam. Powrót do góry

Gość




PostWysłany: Pią Sty 27, 2006 2:51 pm Temat postu: Odpowiedz z cytatem Zmień/Usuń ten post Usuń ten post Zobacz IP autora Moze mi ktos powiedziec w jaki sposob zrobic cos takiego aby: Mozna bylo zobaczyc poza ogolnym ruchem usera, ile dany uzytkownik sciaga/wysyla ale tylko p2p ?! Powrót do góry

Gość




PostWysłany: Pią Sty 27, 2006 3:02 pm Temat postu: Odpowiedz z cytatem Zmień/Usuń ten post Usuń ten post Zobacz IP autora mozna mozna i to prosto. A pózniej dam wam mój full config Very Happy

Pozdrawiam Gularz_pl Powrót do góry

Gość




PostWysłany: Pią Sty 27, 2006 3:10 pm Temat postu: Odpowiedz z cytatem Zmień/Usuń ten post Usuń ten post Zobacz IP autora A jest z toba jakis inny kontakt niz przez forum

moze jeszcze ma zatanczyc.. ? Razz Powrót do góry

user_test Gość




PostWysłany: Pią Sty 27, 2006 11:57 pm Temat postu: Odpowiedz z cytatem Zmień/Usuń ten post Usuń ten post Zobacz IP autora Heh powiem wam tak Ci co pisza o jakies gotowce kolega Gularz sam kiedys szukal doswiadczal i myslal a niezrozumiale byloby gdyby lunol gotowca z kolejkami etc he he he sam szukalem pytalem ale cos pozostaje edukacja i praca wlasna to jedyna dobra droga do celu po pierwsze zrobisz sam cos co dziala po drugie wiesz jak a tak to co walisz gotowca i co nie wiesz nic o tym ... to nie cieszy ... pozdrawiam czekajacych na free Smile Powrót do góry

Gość




PostWysłany: Sob Sty 28, 2006 2:20 am Temat postu: Odpowiedz z cytatem Zmień/Usuń ten post Usuń ten post Zobacz IP autora Więc Jedziemy !!!

Postaram się w miare możliwości opisać co i jak !!!


/ interface ethernet set ether2 name="ether2" mtu=1500 mac-address=01:01:02:F5:EB:19 arp=enabled disable-running-check=yes auto-negotiation=yes \ full-duplex=yes cable-settings=default speed=100Mbps comment="" disabled=no


/ interface wireless set wlan1 name="wlan1" mtu=1500 mac-address=00:0E:9B:C1:A8:C2 arp=enabled disable-running-check=no \ radio-name="000E9BC1A8C2" mode=station ssid="mostek" area="" frequency-mode=superchannel \ country=no_country_set antenna-gain=0 frequency=2412 band=2.4ghz-onlyg scan-list=default rate-set=default \ supported-rates-b=1Mbps,2Mbps,5.5Mbps,11Mbps supported-rates-a/g=6Mbps,9Mbps,12Mbps,18Mbps,24Mbps,36Mbps \ basic-rates-b=1Mbps,2Mbps,5.5Mbps,11Mbps basic-rates-a/g=6Mbps,9Mbps,12Mbps,18Mbps,24Mbps,36Mbps \ max-station-count=2007 ack-timeout=dynamic tx-power=20 tx-power-mode=all-rates-fixed noise-floor-threshold=default \ periodic-calibration=default burst-time=disabled dfs-mode=none antenna-mode=ant-b wds-mode=disabled \ wds-default-bridge=none wds-ignore-ssid=no update-stats-interval=disabled default-authentication=yes \ default-forwarding=yes default-ap-tx-limit=0 default-client-tx-limit=0 hide-ssid=yes security-profile=default \ disconnect-timeout=3s on-fail-retry-time=100ms preamble-mode=long compression=yes allow-sharedkey=no comment="" \ disabled=no

set wlan2 name="wlan2" mtu=1500 mac-address=00:02:6F:22:AD:B0 arp=enabled disable-running-check=no \ radio-name="00026F22ADB0" mode=ap-bridge ssid="belchow" area="" frequency-mode=regulatory-domain country=poland \ antenna-gain=0 frequency=2437 band=2.4ghz-b scan-list=default rate-set=default supported-rates-b=1Mbps,2Mbps,5.5Mbps \ supported-rates-a/g="" basic-rates-b=1Mbps,2Mbps,5.5Mbps basic-rates-a/g="" max-station-count=2007 ack-timeout=dynamic \ tx-power-mode=default noise-floor-threshold=default periodic-calibration=default burst-time=disabled dfs-mode=none \ antenna-mode=ant-b wds-mode=disabled wds-default-bridge=none wds-ignore-ssid=no update-stats-interval=disabled \ default-authentication=yes default-forwarding=no default-ap-tx-limit=0 default-client-tx-limit=0 hide-ssid=no \ security-profile=default disconnect-timeout=3s on-fail-retry-time=100ms preamble-mode=long compression=no \ allow-sharedkey=no comment="" disabled=no

Wlan2 i ether spięt bridgem zeby dać gostkowi po kablu necik Smile Wlan1 wcześniej robił jako tunell-eoip ale teraz stoi jako klient większej roznicy nie zauważam !!! Na Wlan1 właczona kompresja pakietów- nie powiem troszke oszczedza ruch pomiędzy MT


/ interface wireless nstreme set wlan1 enable-nstreme=no enable-polling=yes framer-policy=none framer-limit=3000 set wlan2 enable-nstreme=no enable-polling=yes framer-policy=none framer-limit=3200

Wcześniej miałem właczone ale róznicy nie zauważam moze faktycznie sprawdza sie na większych odległościach z dwoma antenami, róznie z tym bywało


/ interface wireless manual-tx-power-table set wlan1 manual-tx-powers=1Mbps:17,2Mbps:17,5.5Mbps:17,11Mbps:17,6Mbps:17,9Mbps:17,12Mbps:17,18Mbps:17,24Mbps:17,36Mbps:17\ ,48Mbps:17,54Mbps:17 set wlan2 manual-tx-powers=1Mbps:17,2Mbps:17,5.5Mbps:17,11Mbps:17,6Mbps:17,9Mbps:17,12Mbps:17,18Mbps:17,24Mbps:17,36Mbps:17\ ,48Mbps:17,54Mbps:17

Tutaj dajemy moc na karcie w danej prędkości.


/ interface wireless security-profiles set default name="default" mode=none wpa-unicast-ciphers="" wpa-group-ciphers="" pre-shared-key="" static-algo-0=none \ static-key-0="" static-algo-1=none static-key-1="" static-algo-2=none static-key-2="" static-algo-3=none \ static-key-3="" static-transmit-key=key-0 static-sta-private-algo=none static-sta-private-key="" \ radius-mac-authentication=no group-key-update=5m

Nie ustawiałem !!!


/ interface wireless align set frame-size=500 active-mode=yes receive-all=no audio-monitor=00:00:00:00:00:00 filter-mac=00:00:00:00:00:00 ssid-all=no \ frames-per-second=25 audio-min=-100 audio-max=-20

Align czyli sprawdza nam poziom zanieczyszczeń na eterze


/ interface wireless snooper set multiple-channels=yes channel-time=200ms receive-errors=no

????


/ interface wireless sniffer set multiple-channels=no channel-time=200ms only-headers=no receive-errors=no memory-limit=10 file-name="" file-limit=10 \ streaming-enabled=yes streaming-server=192.168.100.x streaming-max-rate=0

192.168.100.x - adres w sieci który chce konkretnie sprawdzić Very Happy

Tu chyba nie trzeba tłumaczyć Smile Dzięki temu narzędziu namierzylem jednego gostka podmieniającego mac. Oj miał kłopociki Smile


/ interface bridge add name="bridge1" mtu=1500 arp=enabled stp=no priority=32768 ageing-time=5m forward-delay=15s \ garbage-collection-interval=5s hello-time=2s max-message-age=20s comment="sie lokalna" disabled=no / interface bridge port set ether2 bridge=bridge1 priority=128 path-cost=10 set wlan1 bridge=none priority=128 path-cost=10 set wlan2 bridge=bridge1 priority=128 path-cost=10

Tak jak pisałem wczesniej interface bridge czyli wlan2 i ether spiete w jedno.

/ interface l2tp-server server set enabled=no max-mtu=1460 max-mru=1460 authentication=pap,chap,mschap1,mschap2 default-profile=default-encryption

???? nie ustawiany


/ interface pppoe-server server add service-name="" interface=bridge1 max-mtu=1480 max-mru=1480 authentication=mschap1,mschap2 keepalive-timeout=10 \ one-session-per-host=yes max-sessions=0 default-profile=default disabled=no / interface pptp-server server set enabled=no max-mtu=1460 max-mru=1460 authentication=mschap1,mschap2 keepalive-timeout=30 \ default-profile=default-encryption

Aktualnie ustawiany przy pomoicy przepisu kolegi Art-a

/ ip pool add name="dhcp-pool-1" ranges=192.168.100.5-192.168.100.50

Zakres sieci jaki ma przydzielać dhcp "aktualnie ze względu na ppoe wycofywany !! "

/ ip accounting set enabled=yes account-local-traffic=no threshold=256

???

/ ip accounting web-access set accessible-via-web=yes address=0.0.0.0/0

????

/ ip service set telnet port=23 address=0.0.0.0/0 disabled=no set ftp port=21 address=0.0.0.0/0 disabled=no set www port=80 address=0.0.0.0/0 disabled=no set www-ssl port=443 address=0.0.0.0/0 certificate=none disabled=yes

Dostęp do Winboxa przez ..........


/ ip socks set enabled=no port=1080 connection-idle-timeout=2m max-connections=200

????


/ ip arp add address=192.168.100.4 mac-address=00:03:2F:0C:2E:00 interface=bridge1 comment="" disabled=no add address=192.168.100.25 mac-address=00:30:4F:24:B1:00 interface=bridge1 comment="" disabled=no

Wiadomo powiązani ip z macem Najlepiej zapisac cały zakres sieci nawet wyssanymi z palca macami !!! Zabezpieczy przed otrzymaniem przez przypadkowago gościa danych sieci !!!


/ ip upnp set enabled=no allow-disable-external-interface=yes show-dummy-rule=yes

????


/ ip traffic-flow set enabled=no interfaces=bridge1 cache-entries=4k active-flow-timeout=30m inactive-flow-timeout=15s

???? Sam nie wiem co to daje Smile


/ ip dns set primary-dns=213.199.225.10 secondary-dns=213.199.225.14 allow-remote-requests=yes cache-size=2048KiB cache-max-ttl=1w

Tu wiadomo dzieki dnsom mozemy pingować www.wp.pl z poziomu MT jak i również niezbędne do proxy.

/ ip dns static add name="local" address=192.168.100.1 ttl=2d

MT robi za primary dns dla sieci !!!

/ ip address add address=82.xxx.131.68/27 network=82.160.131.65 broadcast=82.160.131.95 interface=wlan1 comment="" disabled=no add address=192.168.100.1/24 network=192.168.100.0 broadcast=192.168.100.255 interface=bridge1 comment="" disabled=no add address=82.xxx.131.70/32 network=82.160.131.70 broadcast=82.160.131.70 interface=wlan1 comment="" disabled=no

Tu nie musze wyjaśniać !!! 2 adres po to żeby nadać ip publiczne w gosciowi w sieci. O tym dalej !!!.


/ ip proxy set enabled=no port=8080 parent-proxy=0.0.0.0:1 maximal-client-connecions=100 maximal-server-connectons=100

Jakoś nie właczałem !!!


/ ip proxy access add dst-port=23-25 action=deny comment="block telnet & spam e-mail relaying" disabled=no

/ ip packing add interface=wlan1 packing=compress-all unpacking=compress-all aggregated-size=1400 disabled=no

Niezbędne aby zadziałało pakowanie na interfejsie ,czyli u mnie wlan1


/ ip neighbor discovery set ether2 discover=no set wlan1 discover=yes set bridge1 discover=no set wlan2 discover=yes

Również niezbędne aby zadziałało pakowanie na interfejsie ,czyli u mnie wlan1

/ ip route add dst-address=0.0.0.0/0 gateway=82.xxx.131.67 scope=255 target-scope=10 comment="added by setup" disabled=no

Wiadomo adres bramy dla MT i całej sieci !!!


I najlepsze !!

/ ip firewall mangle add chain=prerouting protocol=tcp tcp-flags=syn tcp-mss=0-1500 action=accept comment="" disabled=no To do ppoe zmienia rozmiar pakietu !!!

add chain=prerouting protocol=tcp dst-port=20-21 p2p=!all-p2p action=mark-connection new-connection-mark=ftp_conn \ passthrough=yes comment="" disabled=no add chain=prerouting connection-mark=ftp_conn action=mark-packet new-packet-mark=ftp passthrough=no comment="" disabled=no

Zaznaczanie połączenia i pakietu ftp. Dlaczego p2p=!all-p2p, ano dlatego ze bitorenty po tym porcie potrafią jechać Smile

add chain=prerouting protocol=tcp dst-port=5061 action=mark-connection new-connection-mark=VOIP_CON passthrough=yes \ comment="VoIP" disabled=no add chain=prerouting protocol=udp dst-port=5061 action=mark-connection new-connection-mark=VOIP_CON passthrough=yes \ comment="" disabled=no add chain=prerouting protocol=tcp dst-port=19000-20000 action=mark-connection new-connection-mark=VOIP_CON passthrough=yes \ comment="" disabled=no add chain=prerouting protocol=udp dst-port=19000-20000 action=mark-connection new-connection-mark=VOIP_CON passthrough=yes \ comment="" disabled=no add chain=prerouting connection-mark=VOIP_CON action=mark-packet new-packet-mark=ALTA passthrough=no comment="" \ disabled=no

To samo tyle ze dla Voipa (oczywiście to nie wszystkie), można dokładać byle by znać porty.

add chain=prerouting protocol=udp dst-port=53 action=mark-connection new-connection-mark=DNS_CON passthrough=yes \ comment="DNS" disabled=no add chain=prerouting protocol=udp dst-port=53 action=mark-packet new-packet-mark=ALTA passthrough=no comment="" \ disabled=no

Zapytania DNS !!!

add chain=prerouting protocol=tcp dst-port=443 action=mark-connection new-connection-mark=HTTP_CON passthrough=yes \ comment="" disabled=no add chain=prerouting protocol=tcp dst-port=8080 action=mark-connection new-connection-mark=HTTP_CON passthrough=yes \ comment="" disabled=no add chain=prerouting connection-mark=HTTP_CON action=mark-packet new-packet-mark=ALTA passthrough=no comment="" \ disabled=no

Ruch HTTP !!!

add chain=prerouting protocol=tcp dst-port=1863 action=mark-connection new-connection-mark=MSN_CON passthrough=yes \ comment="MSN" disabled=no add chain=prerouting protocol=tcp dst-port=1863 connection-mark=MSN_CON action=mark-packet new-packet-mark=MEDIA_ALTA \ passthrough=no comment="" disabled=no

Komunikatory (msn) mozna dodać gg tleny itp Smile rowniez trzeba znac porty


add chain=prerouting p2p=all-p2p action=mark-connection new-connection-mark=P2P_CON passthrough=yes comment="P2P" \ disabled=no add chain=prerouting connection-mark=P2P_CON action=mark-packet new-packet-mark=P2P passthrough=no comment="" disabled=no

Ruch p2p, niestety nie wszystko wyłapuje poniewaz mamy coraz to sprytniejsze programy tego typu (ponoć pomaga upgrade do 2.9.10 i wyżej)


add chain=prerouting p2p=!all-p2p action=mark-connection new-connection-mark=OUTROS_CON passthrough=yes comment="Restante \ do tr fego" disabled=no add chain=prerouting connection-mark=OUTROS_CON action=mark-packet new-packet-mark=MEDIA_BAIXA passthrough=yes comment="" \ disabled=no

No i cała reszta !!!!


/ ip firewall nat add chain=dstnat src-address=192.168.100.15 protocol=tcp dst-port=0-65535 action=dst-nat to-addresses=82.xxx.131.114 \ to-ports=80 comment="" disabled=yes

To umożliwia mi przypomnieć gościowi o zapłacie, na publicznym ip mam serwer apacha z stronką Potrzymam go troszke az się sam przypomni !!


add chain=dstnat dst-address=82.160.131.70 action=dst-nat to-addresses=192.168.100.8 to-ports=0-65535 comment="" \ disabled=no

Nadanie ip 192.168.100.8 publicznego adresu Smile


add chain=srcnat out-interface=wlan1 action=masquerade comment="" disabled=no

Właczenie masquerady , czyli sieć lokalna ma dostęp do netu.


/ ip firewall connection tracking set enabled=yes tcp-syn-sent-timeout=1m tcp-syn-received-timeout=1m tcp-established-timeout=10m tcp-fin-wait-timeout=10s \ tcp-close-wait-timeout=5s tcp-last-ack-timeout=10s tcp-time-wait-timeout=10s tcp-close-timeout=10s udp-timeout=10s \ udp-stream-timeout=3m icmp-timeout=10s generic-timeout=10m

Niezbędne żeby działało udostępnianie ,domyślne wartości podmienione żeby np. nie trzymało mi połaczeń które faktycznie juz nie istnieją.


/ ip firewall filter add chain=forward dst-address=192.168.100.4 protocol=tcp tcp-flags=syn connection-limit=20,32 action=drop comment="" \ disabled=no add chain=forward src-address=192.168.100.4 protocol=tcp tcp-flags=syn connection-limit=20,32 action=drop comment="" \ disabled=no

Ograniczenie ip 192.168.100.4 ilości połaczeń in/out


add chain=forward protocol=tcp src-port=8080 action=drop comment="odrzuc polaczenia przez proxy na portach 8080" \ disabled=no

A tak co by nie robili sobie tuneli z innymi proxy Smile


To już znacie !!!

add chain=forward action=jump jump-target=virus comment="!!! Sprwadz porty wirusa !!!" disabled=no add chain=forward protocol=udp action=jump jump-target=udp comment="UDP" disabled=no add chain=forward protocol=tcp psd=21,3s,3,1 action=add-src-to-address-list address-list="port scanners" \ address-list-timeout=2w comment="Port scanners to list " disabled=no add chain=forward src-address-list="port scanners" action=log log-prefix="skanerr" comment="dropping port scanners" \ disabled=yes add chain=forward p2p=all-p2p action=drop comment="p2p" disabled=yes add chain=forward protocol=icmp limit=50/5s,2 action=accept comment="Allow limited pings" disabled=no add chain=forward protocol=icmp action=drop comment="Drop excess pings" disabled=no add chain=udp protocol=udp dst-port=69 action=drop comment="deny TFTP" disabled=no add chain=udp protocol=udp dst-port=111 action=drop comment="deny PRC portmapper" disabled=no add chain=udp protocol=udp dst-port=135 action=drop comment="deny PRC portmapper" disabled=no add chain=udp protocol=udp dst-port=137-139 action=drop comment="deny NBT" disabled=no add chain=udp protocol=udp dst-port=2049 action=drop comment="deny NFS" disabled=no add chain=udp protocol=udp dst-port=3133 action=drop comment="deny BackOriffice" disabled=no add chain=icmp protocol=icmp icmp-options=3:0 action=accept comment="allow established connections" disabled=no add chain=icmp protocol=icmp icmp-options=3:1 action=accept comment="allow already established connections" disabled=no add chain=icmp protocol=icmp icmp-options=4:0 action=accept comment="allow source quench" disabled=no add chain=icmp protocol=icmp icmp-options=11:0 action=accept comment="allow time exceed" disabled=no add chain=icmp protocol=icmp icmp-options=12:0 action=accept comment="allow parameter bad" disabled=no add chain=icmp protocol=icmp icmp-options=8:0 action=log log-prefix="" comment="allow echo request" disabled=no add chain=icmp action=drop comment="deny all other types" disabled=no add chain=virus protocol=tcp dst-port=135-139 action=drop comment="Drop Blaster Worm" disabled=no add chain=virus protocol=udp dst-port=135-139 action=drop comment="Drop Messenger Worm" disabled=no add chain=virus protocol=tcp dst-port=445 action=drop comment="Drop Blaster Worm" disabled=no add chain=virus protocol=udp dst-port=445 action=drop comment="Drop Blaster Worm" disabled=no add chain=virus protocol=tcp dst-port=593 action=drop comment="________" disabled=no add chain=virus protocol=tcp dst-port=1024-1030 action=drop comment="________" disabled=no add chain=virus protocol=tcp dst-port=1080 action=drop comment="Drop MyDoom" disabled=no add chain=virus protocol=tcp dst-port=1214 action=drop comment="________" disabled=no add chain=virus protocol=tcp dst-port=1363 action=drop comment="ndm requester" disabled=no add chain=virus protocol=tcp dst-port=1364 action=drop comment="ndm server" disabled=no add chain=virus protocol=tcp dst-port=1368 action=drop comment="screen cast" disabled=no add chain=virus protocol=tcp dst-port=1373 action=drop comment="hromgrafx" disabled=no add chain=virus protocol=tcp dst-port=1377 action=drop comment="cichlid" disabled=no add chain=virus protocol=tcp dst-port=1433-1434 action=drop comment="Worm" disabled=no add chain=virus protocol=udp dst-port=1433-1434 action=drop comment="Worm" disabled=no add chain=virus protocol=tcp dst-port=2745 action=drop comment="Bagle Virus" disabled=no add chain=virus protocol=tcp dst-port=2283 action=drop comment="Drop Dumaru.Y" disabled=no add chain=virus protocol=tcp dst-port=2535 action=drop comment="Drop Beagle" disabled=no add chain=virus protocol=tcp dst-port=2745 action=drop comment="Drop Beagle.C-K" disabled=no add chain=virus protocol=tcp dst-port=3127-3128 action=drop comment="Drop MyDoom" disabled=no add chain=virus protocol=tcp dst-port=3410 action=drop comment="Drop Backdoor OptixPro" disabled=no add chain=virus protocol=tcp dst-port=4444 action=drop comment="Worm" disabled=no add chain=virus protocol=udp dst-port=4444 action=drop comment="Worm" disabled=no add chain=virus protocol=tcp dst-port=5554 action=drop comment="Drop Sasser" disabled=no add chain=virus protocol=tcp dst-port=8866 action=drop comment="Drop Beagle.B" disabled=no add chain=virus protocol=tcp dst-port=9898 action=drop comment="Drop Dabber.A-B" disabled=no add chain=virus protocol=tcp dst-port=10000 action=drop comment="Drop Dumaru.Y" disabled=no add chain=virus protocol=tcp dst-port=10080 action=drop comment="Drop MyDoom.B" disabled=no add chain=virus protocol=tcp dst-port=12345 action=drop comment="Drop NetBus" disabled=no add chain=virus protocol=tcp dst-port=17300 action=drop comment="Drop Kuang2" disabled=no add chain=virus protocol=tcp dst-port=27374 action=drop comment="Drop SubSeven" disabled=no add chain=virus protocol=tcp dst-port=65506 action=drop comment="Drop PhatBot, Agobot, Gaobot" disabled=no add chain=input action=jump jump-target=virus comment="!!! Check for well-known viruses !!!" disabled=no add chain=input protocol=tcp psd=21,3s,3,1 action=add-src-to-address-list address-list="port scanners" \ address-list-timeout=2w comment="Port scanners to list " disabled=no add chain=input src-address-list="port scanners" action=drop comment="dropping port scanners" disabled=no add chain=input protocol=icmp limit=50/5s,2 action=accept comment="Allow limited pings" disabled=no add chain=input protocol=icmp action=drop comment="Drop excess pings" disabled=no add chain=output protocol=tcp tcp-flags=syn,!fin,!rst,!psh,!ack,!urg,!ece,!cwr action=log log-prefix="" comment="" \ disabled=no add chain=output protocol=tcp tcp-flags=syn,!fin,!rst,!psh,!ack,!urg,!ece,!cwr action=drop comment="" disabled=no add chain=output protocol=tcp src-port=8080 action=accept comment="" disabled=no add chain=output protocol=tcp dst-port=8080 action=accept comment="" disabled=no

/ ip firewall address-list

Tu wrzuca mi adresy ip które skanują porty pozatym mam opcję log zamiast drop (to dla kolegi MiruK)


/ ip firewall service-port set ftp ports=21 disabled=no set tftp ports=69 disabled=no set irc ports=6667 disabled=no set h323 disabled=no set quake3 disabled=no set mms disabled=no set gre disabled=yes set pptp disabled=yes

??? Dokładnie nie wiem o co tu biega ???


/ ip dhcp-server add name="dhcp1" interface=bridge1 lease-time=1h address-pool=dhcp-pool-1 bootp-support=static add-arp=no disabled=no / ip dhcp-server config set store-leases-disk=5m / ip dhcp-server lease add address=192.168.100.4 mac-address=00:03:2F:0C:2E:00 comment="" disabled=no add address=192.168.100.5 mac-address=00:80:C6:E7:D4:92 comment="" disabled=no add address=192.168.100.7 mac-address=00:40:F4:C5:0A:00 comment="" disabled=no / ip dhcp-server network add address=192.168.100.0/24 gateway=192.168.100.1 dns-server=192.168.100.1,213.199.225.14,213.199.225.14 comment="added \ by setup"


Tu chyba wiadomo dhcp dla sieci !!! Równiez zalecam wypełnić cały zakres sieci tylko niech zgadza się z tym co mamy w /ip arp

/ system logging add topics=info prefix="" action=memory disabled=no add topics=error prefix="" action=memory disabled=no add topics=warning prefix="" action=memory disabled=no add topics=critical prefix="" action=echo disabled=no

Ropdzaje błędów i co z nimi robimy. Ja nie zmieniałem


/system logging action set memory name="memory" target=memory memory-lines=100 memory-stop-on-full=no set disk name="disk" target=disk disk-lines=100 disk-stop-on-full=no set echo name="echo" target=echo remember=yes set remote name="remote" target=remote remote=0.0.0.0:514

???


/ system script add name="p2p_enable" source="/ip firewall filter disable [/ip firewall filter find p2p=all-p2p action=drop]policy=ftp,reboot,read,write,policy,test,winbox,password add name="p2p_disable" source="/ip firewall filter enable [/ip firewall filter find p2p=all-p2p action=drop] policy=ftp,reboot,read,write,policy,test,winbox,password


Co my tu mamy Smile p2p on/off w określonych godzinach (aktualnie nie używane)


/ system upgrade mirror set enabled=yes primary-server=0.0.0.0 secondary-server=0.0.0.0 check-interval=1d user="admin"

???


/ system clock dst set dst-delta=+00:00 dst-start="jan/01/1970 00:00:00" dst-end="jan/01/1970 00:00:00"

Dane co do czasu na MT


/ system watchdog set reboot-on-failure=yes watch-address=none watchdog-timer=yes no-ping-delay=5m automatic-supout=yes auto-send-supout=yes \ send-email-to="" send-email-from=""

System pada to wyśli emaila ?? i wykonaj jakiś ruch ??/ Nie zagłębiałem się Kiedyś zrobiłem żeby sprawdzały się MT na bridgu i powiem ze głupota wychodziła !!! Jeden się resetował to i drugi tez a jak pierwszy wstał to komunikacji brak z drugim to robił auto reboot i tak w kółko Smile

Wiem czas sie ustawia Very Happy


/ system console add term="" disabled=no set FIXME term="linux" disabled=no set FIXME term="linux" disabled=no set FIXME term="linux" disabled=no set FIXME term="linux" disabled=no set FIXME term="linux" disabled=no set FIXME term="linux" disabled=no set FIXME term="linux" disabled=no set FIXME term="linux" disabled=no

W 2.9.x prezent mamy 8 okien Telnetu do otwarcia Very Happy


/ system console screen set line-count=25 Tryb ekranu Very Happy

/ system identity set name="Baza-Belchow"

Nazwa Systemu co by sie nie pogubić w ich tłoku !!

/ system note set show-at-login=yes note=""

???

/ system scheduler add name="enable_p2p" on-event=p2p_enable start-date=nov/10/2005 start-time=23:00:00 interval=1d comment="" disabled=yes add name="disable_p2p" on-event=p2p_disable start-date=nov/10/2005 start-time=07:00:00 interval=1d comment="" disabled=yes add name="restart" on-event="/system reboot" start-date=nov/10/2005 start-time=07:01:00 interval=1d comment="" disabled=no add name="p2p-pobieranie-down" on-event="/queue tree set p2p-pobierane max-limit=726000" start-date=nov/10/2005 \ start-time=07:00:00 interval=1d comment="" disabled=yes \n" start-date=nov/10/2005 \ on-event="/queue tree set p2p-wysylanie max-limit=1224000 start-time=23:59:00 interval=1d comment="" disabled=yes \n" start-date=nov/10/2005 \p" on-event="/queue tree set other-pobieranie max-limit=1224000 start-time=07:00:00 interval=1d comment="" disabled=yes add name="other-wysylanie-down" on-event="/queue tree set other-pobieranie max-limit=880000" start-date=nov/10/2005 \ start-time=23:00:00 interval=1d comment="" disabled=yes


Ciąg dalszy automatycznego on/off dla ruchu p2p Oraz codzienny restart MT o 7.01 Very Happy


/ ppp profile set default name="default" local-address=192.168.100.1 use-compression=default use-vj-compression=default \ use-encryption=default only-one=default change-tcp-mss=yes incoming-filter=virus outgoing-filter=virus \ dns-server=192.168.100.1,213.199.225.14,213.199.225.14 comment="" set default-encryption name="default-encryption" use-compression=default use-vj-compression=default use-encryption=yes \ only-one=default change-tcp-mss=default comment="" / ppp secret add name="IreK" service=pppoe caller-id="00:80:C8:1D:23:BF" password="IreK" profile=default local-address=0.0.0.0 \ remote-address=192.168.100.24 routes="" limit-bytes-in=0 limit-bytes-out=0 comment="Irek " disabled=no

Magia ppoe Wedle opisu kolegi Art-a


/ ppp aaa set use-radius=no accounting=yes interim-update=0s

??


/ queue type set default name="default" kind=pfifo pfifo-limit=50 set ethernet-default name="ethernet-default" kind=pfifo pfifo-limit=50 set wireless-default name="wireless-default" kind=sfq sfq-perturb=5 sfq-allot=1514 set synchronous-default name="synchronous-default" kind=red red-limit=60 red-min-threshold=10 red-max-threshold=50 \ red-burst=20 red-avg-packet=1000 set hotspot-default name="hotspot-default" kind=sfq sfq-perturb=5 sfq-allot=1514 add name="pcq-download" kind=pcq pcq-rate=512000 pcq-limit=50 pcq-classifier=dst-address pcq-total-limit=2000 add name="pcq-upload" kind=pcq pcq-rate=256000 pcq-limit=50 pcq-classifier=src-address pcq-total-limit=2000


Czy ja tu coiś zmieniałem ?? Pamiętam że kiedyś tak !!!, ale co Very Happy Ciekawe żeczy można tu zrobić, czesto ratowałem się


/ queue simple add name="Guzek Tomasz" dst-address=192.168.100.4/32 interface=all parent=none priority=8 \ queue=wireless-default/wireless-default limit-at=0/0 max-limit=512000/512000 total-queue=default disabled=no

Chyba nie będę wyjaśniał !!! Można nadać proirytet !!! dla usera mniej lub bardziej ważnego pomimo kolejkowania w queue tree


add name="p2p" target-addresses=0.0.0.0/0 dst-address=0.0.0.0/0 interface=all parent=none priority=8 queue=default/default \ limit-at=0/0 max-limit=50000/256000 total-queue=default p2p=all-p2p disabled=no

Limit p2p dla całej sieci !!! Pomimo /firewall mangle (działa jakby sprawniejod queue tree ) !!!


/ queue tree add name="8-P2P" parent=wlan2 packet-mark=P2P limit-at=128000 queue=default priority=8 max-limit=400000 burst-limit=0 \ burst-threshold=0 burst-time=0s disabled=no add name="1-Alta" parent=wlan2 packet-mark=ALTA limit-at=0 queue=default priority=1 max-limit=0 burst-limit=0 \ burst-threshold=0 burst-time=0s disabled=no add name="3-M dia alta" parent=wlan2 packet-mark=MEDIA_ALTA limit-at=0 queue=default priority=3 max-limit=0 burst-limit=0 \ burst-threshold=0 burst-time=0s disabled=no add name="5-M dia baixa" parent=wlan2 packet-mark=MEDIA_BAIXA limit-at=0 queue=default priority=5 max-limit=0 \ burst-limit=0 burst-threshold=0 burst-time=0s disabled=no add name="7-Baixa" parent=wlan2 packet-mark=BAIXA limit-at=0 queue=default priority=7 max-limit=0 burst-limit=0 \ burst-threshold=0 burst-time=0s disabled=no add name="queue1" parent=wlan2 packet-mark=ftp limit-at=0 queue=default priority=8 max-limit=200000 burst-limit=0 \ burst-threshold=0 burst-time=0s disabled=no

Podział pasma ,prioirytety itd.. Działa najlepiej od wszystkiego co do tej pory znalazłem .... Oczywiście łacznie z /ip firewall mangle


/ user add name="admin" group=full address=0.0.0.0/0 comment="system default user" disabled=no

Wiadomo !! Confused??


/ user group add name="read" policy=local,telnet,ssh,read,test,winbox,web,!ftp,!reboot,!write,!policy,!password add name="write" policy=local,telnet,ssh,reboot,read,write,test,winbox,password,web,!ftp,!policy add name="full" policy=local,telnet,ssh,ftp,reboot,read,write,policy,test,winbox,password,web / user aaa set use-radius=no accounting=yes interim-update=0s default-group=read / radius incoming set accept=no port=1700 / driver / snmp set enabled=no contact="" location="" / snmp community set public name="public" address=0.0.0.0/0 read-access=yes / tool bandwidth-server set enabled=yes authenticate=yes allocate-udp-ports-from=2000 max-sessions=10 / tool mac-server ping set enabled=yes / tool e-mail set

  1. error

????


/ tool sniffer set interface=wlan2 only-headers=no memory-limit=10 file-name="" file-limit=10 streaming-enabled=no \ streaming-server=0.0.0.0 filter-stream=yes filter-protocol=ip-only filter-address1=192.168.100.32/32:0-65535 \ filter-address2=0.0.0.0/0:0-65535

Ciąg dalszy ustawień snifera sieci.


/ tool traffic-monitor add name="tmon1" interface=wlan2 traffic=transmitted trigger=always threshold=0 on-event="" comment="" disabled=no

???


/ tool graphing set store-every=5min / tool graphing resource add allow-address=0.0.0.0/0 store-on-disk=yes disabled=no / tool graphing interface add interface=all allow-address=0.0.0.0/0 store-on-disk=yes disabled=no

Wiadomo MRTG !!!


/ routing bgp instance set default as=65530 router-id=0.0.0.0 redistribute-static=no redistribute-connected=no redistribute-rip=no \ redistribute-ospf=no redistribute-other-bgp=no name="default" out-filter="" disabled=no / routing rip set redistribute-static=no redistribute-connected=no redistribute-ospf=no redistribute-bgp=no metric-static=1 \ metric-connected=1 metric-ospf=1 metric-bgp=1 update-timer=30s timeout-timer=3m garbage-timer=2m / routing ospf set router-id=0.0.0.0 distribute-default=never redistribute-connected=no redistribute-static=no redistribute-rip=no \ redistribute-bgp=no metric-default=1 metric-connected=20 metric-static=20 metric-rip=20 metric-bgp=20 / routing ospf area set backbone area-id=0.0.0.0 authentication=none prefix-list-import="" prefix-list-export="" disabled=no ??????


To narazie wszystko !!! Co działa nawet sprawnie !!! Na tym odcinku sieci mam 56 userów z czego 55 na radiu, razem maksymalnie przebywało 29. Róznie bywało !!! Ale odkąd mam ten konfig to pingi w sieci Smile Na radiu aktualnie 21 osób.


[admin@Belchow] > ping 192.168.100.18 192.168.100.18 64 byte ping: ttl=64 time=3 ms 192.168.100.18 64 byte ping: ttl=64 time=2 ms 192.168.100.18 64 byte ping: ttl=64 time=8 ms 192.168.100.18 64 byte ping: ttl=64 time=3 ms 192.168.100.18 64 byte ping: ttl=64 time=2 ms 192.168.100.18 64 byte ping: ttl=64 time=2 ms 192.168.100.18 64 byte ping: ttl=64 time=4 ms 192.168.100.18 64 byte ping: ttl=64 time=15 ms 192.168.100.18 64 byte ping: ttl=64 time=2 ms 192.168.100.18 64 byte ping: ttl=64 time=2 ms 10 packets transmitted, 10 packets received, 0% packet loss round-trip min/avg/max = 2/4.3/15 ms [admin@Belchow] > ping www.wp.pl 212.77.100.101 64 byte ping: ttl=123 time=24 ms 212.77.100.101 64 byte ping: ttl=123 time=31 ms 212.77.100.101 64 byte ping: ttl=123 time=36 ms 212.77.100.101 64 byte ping: ttl=123 time=22 ms 212.77.100.101 64 byte ping: ttl=123 time=33 ms 212.77.100.101 64 byte ping: ttl=123 time=33 ms 212.77.100.101 64 byte ping: ttl=123 time=51 ms 212.77.100.101 64 byte ping: ttl=123 time=23 ms 212.77.100.101 64 byte ping: ttl=123 time=29 ms 9 packets transmitted, 9 packets received, 0% packet loss round-trip min/avg/max = 22/31.3/51 ms

Oczywiście konstrukcja wali się troche jak mam 2 takie same mace w sieci :/


To wszystko na dziś !!!

Oczywiście może ktoś coś dołoży !!! Na innych MT mam jeszcze troche inne konfigi ale juz nie ma tam tak ładnie :/

Szczególnie liczyłbym na wyjaśnienia pod pozycjami ????


Pozdrawiam Gularz_pl Powrót do góry

Gość




PostWysłany: Sob Sty 28, 2006 2:27 am Temat postu: Odpowiedz z cytatem Zmień/Usuń ten post Usuń ten post Zobacz IP autora user_test napisał: Heh powiem wam tak Ci co pisza o jakies gotowce kolega Gularz sam kiedys szukal doswiadczal i myslal a niezrozumiale byloby gdyby lunol gotowca z kolejkami etc he he he sam szukalem pytalem ale cos pozostaje edukacja i praca wlasna to jedyna dobra droga do celu po pierwsze zrobisz sam cos co dziala po drugie wiesz jak a tak to co walisz gotowca i co nie wiesz nic o tym ... to nie cieszy ... pozdrawiam czekajacych na free Smile


hmm...widzisz, mysle, ze jestes w błedzie...gdyby tak kazdy chciał do wszytkiego dochodzić - to sam byś musial dojśc do tego co to jest siła, wypornośc, prąd..mimo wszytsko fajnie jest poczytac ksiązki i dowiedziec sie tego od "już"

nie mowie, ze kazdy kto sciaga gotowce dobrze robi, ale z drugiej strony nie mam czasu na to, zeby umiec wszytko - moim konfigiem sie podzieliłem, a ze nie umiem skryptowac - to sciągnełem gotowca, staram sie nie kożystać z gotowców - ale powiem tyle, ze dają mi bardzo dużo do myslenia i czasem po 10 h siedzenia nad czyms - to naprawde pomaga, a zanim go wprowadze -to zazwyczaj mocno przerabiam - nie zdarzyło mi sie, zebym całego walnał - bez przeróbek.

Uwazam zatem ze nie nalezy zniechecac osób pokroju gularza do dzielenia sie wiedzą - chłopak kawał roboty odwalił i juz kilka razy ewidentnie skrócił mi droge do celu, a zachowanie pokroju "psa ogrodnika" jest conajmniej nie właściwe.

pozdrawiam

PS. niech kazdy sam decyduje co go cieszy, a co nie... Powrót do góry

Gość




PostWysłany: Sob Sty 28, 2006 9:15 am Temat postu: Odpowiedz z cytatem Zmień/Usuń ten post Usuń ten post Zobacz IP autora yavorr napisał: moze jeszcze ma zatanczyc.. ? Razz


Wez sam sobie postaw rure i zatancz dla rodzinki...

RAczej nikt nie zgra calego konfiga sobie Razz ale jest to pewnego typu drogowskaz dla innych, zwlaszcza ze zostalo mniej/wiecej objasnione co dana regulka robi... Moim zdaniem dzieki temu ubedzie glupich postow, szkoda tylko ze nie mozn tego przykleic Sad(( Moze sie przeniesiemy na inne forum ?! :] Na tweak'a Very Happy Moze ich tutaj zmusic do pewnych udogodnien... Laughing Powrót do góry

Gość




PostWysłany: Sob Sty 28, 2006 9:54 pm Temat postu: Odpowiedz z cytatem Zmień/Usuń ten post Usuń ten post Zobacz IP autora Hmmm... sprawdzilem owy konfig, hmmm pingi owszem ladne Twisted Evil ale akurat u mnie p2p dziwne objawy pokazalo. Wyglada jakby jedna osoba cale pasmo na p2p przejala a inne to sobie moga w bierki pograc... I jak to ma sie rzeczywistosci: sa 2 regulki dla p2p

add name="p2p" target-addresses=0.0.0.0/0 dst-address=0.0.0.0/0 interface=all parent=none priority=8 queue=default/default \ limit-at=0/0 max-limit=50000/256000 total-queue=default p2p=all-p2p disabled=no Limit p2p dla całej sieci !!!

add name="8-P2P" parent=wlan2 packet-mark=P2P limit-at=128000 queue=default priority=8 max-limit=400000 burst-limit=0 \ burst-threshold=0 burst-time=0s disabled=no

Skoro 1 regulka trzyma p2p z calej sieci to po co druga ?! Powrót do góry

qmax


Dołączył: 21 Sty 2006 Posty: 50


PostWysłany: Nie Sty 29, 2006 11:38 am Temat postu: Odpowiedz z cytatem Zmień/Usuń ten post Usuń ten post Zobacz IP autora jesli chodzi o obszerna konfigurację w/w mam pytanie dot. oznaczania :

a) jaka jest różnica pomiędzy prerouting a forward w oznaczaniu

b) w jakim celu oznaczamy najpierw połączenia a poźniej pakiety


i jeszcze jedno pytanie : kolejnosc regułek zarówno w kolejkach jak i na firewall'u

a) mam w simple queues x regulek dla klientow, teraz daje regulke na p2p czy to czy bedzie na poczatku czy na koncu ma jakies znaczenie ?? czy wazny jest jedynie priorytet

b) podobna sytuacja z regulkami na firewallu ( ale nie ma priorytetow )

co powinno byc najpierw ?? limitowanie pakietow, inne, a na koncu dopiero przepuszczanie ruchu ?? Powrót do góry Zobacz profil autora Wyślij prywatną wiadomość Wyślij email croolyc


Dołączył: 02 Cze 2005 Posty: 274


PostWysłany: Sro Lut 01, 2006 11:17 pm Temat postu: Odpowiedz z cytatem Zmień/Usuń ten post Usuń ten post Zobacz IP autora Cytat: / interface wireless snooper set multiple-channels=yes channel-time=200ms receive-errors=no

????

parametry dla DOSKONALEGO narzedzia snooper wykrywa KAZDY nadajnik i odbiornik w 2,4 i 5 Ghz w tym telefony radiowe TPSA Very Happy NTP czy jakos tak to sie zwie nie pamietam dokladnie - widzialem u kumpla na wlasne oczy, u mnie w miescinie wszedzie kable wiec nic tepsowego nie widac Cytat: / ip accounting set enabled=yes account-local-traffic=no threshold=256

???

zliczanie ruchu IP przydatne w analizach obciazenia

Cytat: / system upgrade mirror set enabled=yes primary-server=0.0.0.0 secondary-server=0.0.0.0 check-interval=1d user="admin"

???

zamiast wrzucac pakiety do aktualizacji na CF mozna zrobic wlasny ftp z tymi pakietami bardzo przydatne przy wielu legalnych Smile MT

Cytat: / system note set show-at-login=yes note=""

???

wiadomosc powitalna - taki bajer, linux'owcy to znaja

w sumie to same pierdoly ale odpowiadam co wiem bo widze ze nikt sie nie pali do tego a to dobra idea zebysmy razem wypracowali wspolnymi silami optymalny konfig


gularz w twoim konfigu brakuje wg mnie wyciecia/przyciecia/priorytetowania: 1. otoczenia siecowego 2. polaczen bezposrednich w gg (nie wiem jak u was ale u mnie to przesadzaja - po pare filmow naraz potrafia sobie przesylac)

ad 1. ten konfig z forum cos nie fuma raczej jak powinien ad 2. port 1550 tcp/udp - procedura wyciecia podobna jak w przypadku wirusow, markujemy i drop (niestety teraz nie wkleje postaram sie jutro) Powrót do góry Zobacz profil autora Wyślij prywatną wiadomość Wyślij email Gość




PostWysłany: Sro Lut 01, 2006 11:34 pm Temat postu: Odpowiedz z cytatem Zmień/Usuń ten post Usuń ten post Zobacz IP autora Współpraca jak najbardziej pożądana Very Happy Nawet moge forum zrobić.takie prawdziwe z moderatorem itd Very Happy

Pozdrawiam Powrót do góry

croolyc


Dołączył: 02 Cze 2005 Posty: 274


PostWysłany: Czw Lut 02, 2006 12:06 am Temat postu: Odpowiedz z cytatem Zmień/Usuń ten post Usuń ten post Zobacz IP autora no to zrobmy cos kazdy cos dorzuci - co dwie/trzy/cztery... glowy to nie jedna

moje wypociny z GGP2P Kod: /ip fir man add chain=prerouting protocol=tcp dst-port=1550 action=mark-connection new-connection-mark=GGP2P passthrough=yes \

   comment="Zasrane GG" disabled=no

add chain=prerouting protocol=udp dst-port=1550 action=mark-connection new-connection-mark=GGP2P passthrough=yes \

   comment="" disabled=no

add chain=prerouting connection-mark=GGP2P action=mark-packet new-packet-mark=ggp2p passthrough=no comment="" disabled=no

/que sim add name="ggp2p" target-addresses=213.25.xxx.0/24 dst-address=213.25.xxx.0/24 interface=all parent=none \

   packet-marks=ggp2p priority=8 queue=default/default limit-at=16000/16000 max-limit=64000/64000 total-queue=default \
   disabled=no

Powrót do góry Zobacz profil autora Wyślij prywatną wiadomość Wyślij email Art


Dołączył: 26 Sty 2005 Posty: 196


PostWysłany: Czw Lut 02, 2006 8:50 am Temat postu: Odpowiedz z cytatem Zmień/Usuń ten post Usuń ten post Zobacz IP autora generalnie uważam że jeżeli ktoś ma problem z lewusami w sieci powininen zastosować pppoe

ale jest jeszcze jedno jak zrobić żeby ktoś nie wykorzystywał naszej sieci jako transportera do grania lub wymiany plików (chodzi o lewusów) to najlepiej na wszystkich bidgeach wyciąc ruch po ip/ipx/ipv6 , wiadmom pppoe bedzie działałć Smile Kod: / interface bridge filter add chain=forward mac-protocol=ip action=drop comment="" disabled=no add chain=forward mac-protocol=ipx action=drop comment="" disabled=no add chain=forward mac-protocol=vlan action=drop comment="" disabled=no add chain=forward mac-protocol=ipv6 action=drop comment="" disabled=no add chain=input mac-protocol=ip action=drop comment="" disabled=no add chain=input mac-protocol=ipx action=drop comment="" disabled=no add chain=input mac-protocol=vlan action=drop comment="" disabled=no add chain=input mac-protocol=ipv6 action=drop comment="" disabled=no Powrót do góry Zobacz profil autora Wyślij prywatną wiadomość Wyślij email Gość




PostWysłany: Wto Lut 07, 2006 1:12 pm Temat postu: Odpowiedz z cytatem Zmień/Usuń ten post Usuń ten post Zobacz IP autora Anonymous napisał:

add chain=prerouting protocol=tcp dst-port=443 action=mark-connection new-connection-mark=HTTP_CON passthrough=yes \ comment="" disabled=no add chain=prerouting protocol=tcp dst-port=8080 action=mark-connection new-connection-mark=HTTP_CON passthrough=yes \ comment="" disabled=no add chain=prerouting connection-mark=HTTP_CON action=mark-packet new-packet-mark=ALTA passthrough=no comment="" \ disabled=no

Ruch HTTP !!!

Wg tego jaki to ma priorytet ?! Wg tego powinno miec priorytet w queue 1 lub 3, a jakos na tych kolejkach mam zerowy ruch ~?

Pozdrawiam Gularz_pl Powrót do góry

Gość




PostWysłany: Wto Lut 07, 2006 1:12 pm Temat postu: Odpowiedz z cytatem Zmień/Usuń ten post Usuń ten post Zobacz IP autora Heh powalilo mi sie...

Wg tego jaki to ma priorytet ?! Wg tego powinno miec priorytet w queue 1 lub 3, a jakos na tych kolejkach mam zerowy ruch ~? Powrót do góry

Gość




PostWysłany: Wto Lut 07, 2006 11:32 pm Temat postu: Odpowiedz z cytatem Zmień/Usuń ten post Usuń ten post Zobacz IP autora Anonymous napisał: Heh powalilo mi sie...

Wg tego jaki to ma priorytet ?! Wg tego powinno miec priorytet w queue 1 lub 3, a jakos na tych kolejkach mam zerowy ruch ~?


Priorytet dajesz w queue tree.

Pozdrawiam :d Powrót do góry

Gość




PostWysłany: Sro Lut 08, 2006 1:00 pm Temat postu: Odpowiedz z cytatem Zmień/Usuń ten post Usuń ten post Zobacz IP autora A czy ja pytalem gdzie sie dodaje priorytet ?! Ogolnie pytam o to: add chain=prerouting protocol=tcp dst-port=443 action=mark-connection new-connection-mark=HTTP_CON passthrough=yes \ comment="" disabled=no add chain=prerouting protocol=tcp dst-port=8080 action=mark-connection new-connection-mark=HTTP_CON passthrough=yes \ comment="" disabled=no add chain=prerouting connection-mark=HTTP_CON action=mark-packet new-packet-mark=ALTA passthrough=no comment="" \ disabled=no

Ruch HTTP !!!

Czemu port 8080 jesli www sa na 80, i wedlug queue tree w ktorej kolejce www dzialaja ?!

rzeciz port 8080 to jest najczęściej port wykozystywany przez http proxy. Wiec w czym problem.

Pozdrawiam Gularz_pl Powrót do góry

Gość




PostWysłany: Sro Lut 08, 2006 1:38 pm Temat postu: Odpowiedz z cytatem Zmień/Usuń ten post Usuń ten post Zobacz IP autora No ok, ale jak ktos nie uzywa proxy ? A i po co sa te inne porty w ruchu http ?! Powrót do góry

Gość




PostWysłany: Sob Lut 11, 2006 3:54 pm Temat postu: Odpowiedz z cytatem Zmień/Usuń ten post Usuń ten post Zobacz IP autora MiruK napisał: Anonymous napisał: Is Back Very Happy

Obrona MT i sieci przed skanowaniem portów z zewnątrz, mozna jako chain dac forward wtedy broni wewnątrz sieci:D Uwaga któryś z p2p jest wykrywany wten sposób a wtedy gostek w sieci lokalnej z niej wylatuje Smile Można zrobić przekierowanko na strone www informującą o fakcie posiadania lub uzywania skanerów Very Happy


Wersja pod mt 2.9.x

/ip firewall filter add chain=input protocol=tcp psd=21,3s,3,1 action=add-src-to-address-list address-list="skaner port" address-list-timeout=2w comment="wykryj skaner portów i dodaj do black listy" \ disabled=no add chain=input src-address-list="skaner" action=drop comment="odrzuc połaczenia z skanującym" disabled=no

Jeśli chcecie zobaczyć ip w black liście lookajci ip firewall Address list

Pozdrawiam Gularz_pl

Na FORWARD tego nie dajcie bo wam zablokuje całą siec Very Happy


Wracajac do watku,m w jaki sposob mozna zablokowac skutecznie to skanowanie ?! Koles mi skanuje porty 24h :[ Powrót do góry

Gość




PostWysłany: Sob Lut 11, 2006 6:12 pm Temat postu: Odpowiedz z cytatem Zmień/Usuń ten post Usuń ten post Zobacz IP autora /ip firewall filter add chain=forward protocol=tcp psd=21,3s,3,1 action=add-src-to-address-list address-list="skaner port" address-list-timeout=2w comment="wykryj skaner portów i dodaj do black listy" \ disabled=no add chain=forward src-address-list="skaner" action=drop comment="odrzuc połaczenia z skanującym" disabled=no


Ale gostek nie bedzie miał dostepu do sieci pózniej I tylko ręcznie będziesz mógł to usunąć z black-listy !!!! Powrót do góry

kurpiu


Dołączył: 18 Sie 2005 Posty: 92


PostWysłany: Sob Lut 11, 2006 9:13 pm Temat postu: Odpowiedz z cytatem Zmień/Usuń ten post Usuń ten post Zobacz IP autora witam, widzę pewne różnice chain=input czy chain=forward Question Powrót do góry Zobacz profil autora Wyślij prywatną wiadomość Wyślij email Gość




PostWysłany: Sob Lut 11, 2006 9:34 pm Temat postu: Odpowiedz z cytatem Zmień/Usuń ten post Usuń ten post Zobacz IP autora Anonymous napisał: /ip firewall filter add chain=forward protocol=tcp psd=21,3s,3,1 action=add-src-to-address-list address-list="skaner port" address-list-timeout=2w comment="wykryj skaner portów i dodaj do black listy" \ disabled=no add chain=forward src-address-list="skaner" action=drop comment="odrzuc połaczenia z skanującym" disabled=no


Ale gostek nie bedzie miał dostepu do sieci pózniej I tylko ręcznie będziesz mógł to usunąć z black-listy !!!!


Do sieci czy do netu ?! Razz Bo z tego co zaobserwowalem ruch ma zerowy, wiec raczej wyciety jest caly net ;P To jak zrobic by zablokowac skanowanie portow a zeby mial dostep ?! Wychodzi ze musze typa zjebac i formata zalecic bo na 100% to jakies male mendy mu sie wkradly i syf robia... A jest jakos na cos takiego inna rada ? Powrót do góry

Gość




PostWysłany: Sob Lut 11, 2006 11:51 pm Temat postu: Odpowiedz z cytatem Zmień/Usuń ten post Usuń ten post Zobacz IP autora Anonymous napisał: Anonymous napisał: /ip firewall filter add chain=forward protocol=tcp psd=21,3s,3,1 action=add-src-to-address-list address-list="skaner port" address-list-timeout=2w comment="wykryj skaner portów i dodaj do black listy" \ disabled=no add chain=forward src-address-list="skaner" action=drop comment="odrzuc połaczenia z skanującym" disabled=no


Ale gostek nie bedzie miał dostepu do sieci pózniej I tylko ręcznie będziesz mógł to usunąć z black-listy !!!!


Do sieci czy do netu ?! Razz Bo z tego co zaobserwowalem ruch ma zerowy, wiec raczej wyciety jest caly net ;P To jak zrobic by zablokowac skanowanie portow a zeby mial dostep ?! Wychodzi ze musze typa zjebac i formata zalecic bo na 100% to jakies male mendy mu sie wkradly i syf robia... A jest jakos na cos takiego inna rada ?


mozesz mu zrobic przekierowanie na stronke z informacja ze ma syf jedna rada dodaj !p2p=all Bo piepszony bittorent skacze i taki sam objaw jest

Pozdrawiam Very Happy Powrót do góry

Gość




PostWysłany: Wto Lut 14, 2006 2:51 pm Temat postu: Odpowiedz z cytatem Zmień/Usuń ten post Usuń ten post Zobacz IP autora Coś ciekawego Very Happy ale pod 2.8.x Póżniej podam przerobione na 2.9.x

/ ip firewall add name=bad_people

/ ip firewall rule bad_people

add src-address=81.180.98.3/32 action=drop \ comment="Known Spammer" disabled=no add src-address=67.75.20.112/32 action=drop \ comment="http://isc.incidents.org/top10.html listed" disabled=no add src-address=218.104.138.166/32 action=drop \ comment="http://isc.incidents.org/top10.html listed" disabled=no add src-address=212.3.250.194/32 action=drop \ comment="http://isc.incidents.org/top10.html listed" disabled=no add src-address=80.132.187.0/24 action=drop \ comment="http://isc.incidents.org/top10.html listed" disabled=no add src-address=218.104.138.0/24 action=drop \ comment="http://isc.incidents.org/top10.html listed" disabled=no add src-address=219.77.152.0/24 action=drop \ comment="http://isc.incidents.org/top10.html listed" disabled=no

Coś co tak jakby blokowało ip najczęsciej atakujących w necie a podane na tych stronach Very Happy

Małe zabezpieczonko znów Very Happy

Pozdrawiam Gularz_pl Powrót do góry

Gość




PostWysłany: Nie Mar 05, 2006 11:14 pm Temat postu: Odpowiedz z cytatem Zmień/Usuń ten post Usuń ten post Zobacz IP autora A powiedzcie mi cos takiego... jak ustawie port scaner na log, czy to drop wycina klientowi neta dodajac go do black listy, usuwam go z tamtad ale za kazdym razem po odpaleniu torrenta skanuje porty i blokuje typa, jak z tym sobie poradzic ?! Powrót do góry

Gość




PostWysłany: Nie Mar 12, 2006 11:21 am Temat postu: Odpowiedz z cytatem Zmień/Usuń ten post Usuń ten post Zobacz IP autora Czy mozna jakos ustawic squeues limit na p2p oddzielny kazdemu userowi poza limitem ogolnym !? I by sie regulki wzajemnie nie wykluczaly tylko pracowaly wspolnie... Powrót do góry

Gość




PostWysłany: Wto Kwi 11, 2006 9:44 pm Temat postu: Odpowiedz z cytatem Zmień/Usuń ten post Usuń ten post Zobacz IP autora Dzięki temu co pod spodem udało mi sięzmarkować cały ruch na Emulu i pochodnych !!!!


/ ip firewall mangle add chain=prerouting dst-address=82.190.24.128/25 protocol=tcp p2p=edonkey \ action=mark-connection new-connection-mark=emule passthrough=yes \ comment="" disabled=no add chain=prerouting dst-address=82.190.24.128/25 protocol=udp dst-port=4672 \ action=mark-connection new-connection-mark=emule passthrough=yes \ comment="" disabled=no add chain=prerouting dst-address=82.190.24.128/25 protocol=udp dst-port=4672 \ connection-mark=emule action=mark-packet new-packet-mark=emule_IN \ passthrough=no comment="" disabled=no add chain=prerouting dst-address=82.190.24.128/25 protocol=tcp p2p=edonkey \ action=mark-packet new-packet-mark=emule_IN passthrough=no comment="" \ disabled=no add chain=prerouting src-address=82.190.24.128/25 protocol=tcp p2p=edonkey \ action=mark-connection new-connection-mark=emule2 passthrough=yes \ comment="" disabled=no add chain=prerouting src-address=82.190.24.128/25 protocol=udp src-port=4672 \ action=mark-connection new-connection-mark=emule2 passthrough=yes \ comment="" disabled=no add chain=prerouting src-address=82.190.24.128/25 protocol=udp src-port=4672 \ connection-mark=emule2 action=mark-packet new-packet-mark=emule_OUT \ passthrough=no comment="" disabled=no add chain=prerouting src-address=82.190.24.128/25 protocol=tcp \ connection-mark=emule2 action=mark-packet new-packet-mark=emule_OUT \ passthrough=no comment="" disabled=no


/ queue tree add name="queue1" parent=global-in packet-mark=emule_IN limit-at=0 \ queue=default priority=8 max-limit=0 burst-limit=0 burst-threshold=0 \ burst-time=0s disabled=no add name="queue2" parent=global-out packet-mark=emule_OUT limit-at=0 \ queue=default priority=8 max-limit=0 burst-limit=0 burst-threshold=0 \ burst-time=0s disabled=no


Pozdrawiam i proszę o więcej !!! Gularz_pl Powrót do góry

NeM Gość




PostWysłany: Wto Kwi 11, 2006 10:20 pm Temat postu: Odpowiedz z cytatem Zmień/Usuń ten post Usuń ten post Zobacz IP autora Mala uwaga:

Cytat: add chain=prerouting dst-address=82.190.24.128/25 protocol=udp dst-port=4672 \ action=mark-connection new-connection-mark=emule passthrough=yes \ comment="" disabled=no


Markujesz polaczenia na IP 82.190.24.128 na port 4672. Przeciez serwerow emule jest duzo wiecej. Port mozesz sobie zmienic. Serwery tez stoja na roznych portach. Powrót do góry

Gość




PostWysłany: Wto Kwi 11, 2006 10:29 pm Temat postu: Odpowiedz z cytatem Zmień/Usuń ten post Usuń ten post Zobacz IP autora NeM napisał: Mala uwaga:

Cytat: add chain=prerouting dst-address=82.190.24.128/25 protocol=udp dst-port=4672 \ action=mark-connection new-connection-mark=emule passthrough=yes \ comment="" disabled=no


Markujesz polaczenia na IP 82.190.24.128 na port 4672. Przeciez serwerow emule jest duzo wiecej. Port mozesz sobie zmienic. Serwery tez stoja na roznych portach.


Przedewszystkim to nie serwer tylko sieć kad A pozatym markujesz to co nasłuchuje na pocie 4672 a co za tym idzie i dajesz z tego portu wiec wniosek prosty jak któryś z twoich userów zmieni port to tylko na wysyłaniu

Zasad działania portu !! Chyba ze się mylę !!!

Ustawiam port na którym działa usługa np Serwer www i ma port nasłuchu 80 . Czyli zapytanie przychodzi z netu to masz to w src-addres i pocie 80 (bo tak nasłuchuje serwer) i odpowiada na tym samym porcie czyli juz będzie src-addres to serwer www a dst to adres pytającego i to juz nie na pocie 80 .

Pozdrawiam Powrót do góry

NeM Gość




PostWysłany: Wto Kwi 11, 2006 10:36 pm Temat postu: Odpowiedz z cytatem Zmień/Usuń ten post Usuń ten post Zobacz IP autora Tak wiec rozumiem, ze siec KAD to 82.190.24.128/25.

Tyle, ze z tego co wiem, to nie sciagasz plikow od nich, tylko od innych "emulowcow" (p2p) wiec markowanie KAD jakos wydaje mi sie malo sensowne. Myle sie? Powrót do góry

Gość




PostWysłany: Wto Kwi 11, 2006 10:44 pm Temat postu: Odpowiedz z cytatem Zmień/Usuń ten post Usuń ten post Zobacz IP autora NeM napisał: Tak wiec rozumiem, ze siec KAD to 82.190.24.128/25.

Tyle, ze z tego co wiem, to nie sciagasz plikow od nich, tylko od innych "emulowcow" (p2p) wiec markowanie KAD jakos wydaje mi sie malo sensowne. Myle sie?


To nie sieć kad tylko ma markować pakiety idące lub wychodzące z/na port 4672

Najpierw markuje to co idzie z netu na moją pule adresów i to jest jako emule-IN i tu jest src-address pusty no bo nie wiemy skad a dst-address to moja pula

Pozniej markuje odwrotnie to co wychodzi z mojej puli do internetu i analogicznie robimy odwrotnie src-address= tu juz wiemy ze zródłem jest moja sieć ,a dst-addres puste bo nie wiemy gdzie to idzie.

Pozdrawiam Very Happy

No to jeszcze jedno pytanie.

Jestem userem w Twojej sieci i ustawiam port emula na 4682. Wg Ciebie te linijki to wylapia? Powrót do góry

Gość




PostWysłany: Wto Kwi 11, 2006 10:51 pm Temat postu: Odpowiedz z cytatem Zmień/Usuń ten post Usuń ten post Zobacz IP autora tak wyłapie to bo i tak przychodzi z portu 4672 Smile

Z wysyłaniem juz gorzej ale i tak po jakimś czasie to zobaczę Smile Powrót do góry

NeM Gość




PostWysłany: Wto Kwi 11, 2006 10:56 pm Temat postu: Odpowiedz z cytatem Zmień/Usuń ten post Usuń ten post Zobacz IP autora Ciezko dzis mysle, bo od 3 dni mialem tylko 2 przerwy 6-godzinne na spanie, ale jutro to dokladniej przemysle. Smile Powrót do góry

Fragli Gość




PostWysłany: Wto Cze 13, 2006 8:32 am Temat postu: Odpowiedz z cytatem Zmień/Usuń ten post Usuń ten post Zobacz IP autora Mam takie pytanko czy mozna tak skonfigurowac MT: ether1 - podpiety do ruterka linuxowego z netem wlan1 - spiety w bridge z ether wlan2 - jako AP z funkcjami rutera pppoe i natowania adresow

udalo mi sie zrobic ruting i bridge ale nie moge znatowac adresow wychodzacych z interfaces wlan2 z bledem ze ether1 jest w bridge, testowalem tez wlan2 jako ruter z bridge a nie interface ether ruting wciaz dzialal ale natowania nie udalo mi sie odpalic. Tak wyglada topologia sieci [img]http://www.intergeo.pl/img/ts.bmp[/img] Powrót do góry

Gularz_pl1


Dołączył: 20 Cze 2006 Posty: 371 Skąd: Żyrardów

PostWysłany: Wto Cze 20, 2006 8:05 pm Temat postu: Odpowiedz z cytatem Zmień/Usuń ten post Usuń ten post Zobacz IP autora Mozna z tym ze problem z PPPoe uruchamianym na MT bedzie.

Słyszałem ze trzeba jakoś forwardowac prace pppoe na serwer z netem co i jak nie wiem nie musze kombinować Smile _________________ Life is brutal i full zasadzkas ;/

www.isko.net.pl http://gry.isko.net.pl https://voip.isko.net.pl Teamspeak: gry.isko.net.pl:8787 Powrót do góry Zobacz profil autora Wyślij prywatną wiadomość Wyślij email Odwiedź stronę autora lord


Dołączył: 26 Cze 2006 Posty: 33


PostWysłany: Pon Cze 26, 2006 7:55 am Temat postu: Odpowiedz z cytatem Zmień/Usuń ten post Usuń ten post Zobacz IP autora wykrywanie klientow ktorzy sieja wirusami zdarza sie ,ze skanuja cala klase zapychaja switche adres sieci : 192.168.1.1/24

ip firewall mangle add chain=prerouting src-address=192.168.1.0/24 dst-address=!192.168.1.0/24 protocol=tcp dst-port=445 action=add-src-to-address-list address-list=zawirusowani address-list-timeout=15m

po odpaleniu regulki w ip firewall address-list powinni wyskakiwac deliwenci Smile

pozdrawiam mt na ktorym to odpalane jest to brama Powrót do góry Zobacz profil autora Wyślij prywatną wiadomość Wyślij email Gularz_pl1


Dołączył: 20 Cze 2006 Posty: 371 Skąd: Żyrardów

PostWysłany: Pon Cze 26, 2006 8:30 am Temat postu: Odpowiedz z cytatem Zmień/Usuń ten post Usuń ten post Zobacz IP autora lord napisał: wykrywanie klientow ktorzy sieja wirusami zdarza sie ,ze skanuja cala klase zapychaja switche adres sieci : 192.168.1.1/24

ip firewall mangle add chain=prerouting src-address=192.168.1.0/24 dst-address=!192.168.1.0/24 protocol=tcp dst-port=445 action=add-src-to-address-list address-list=zawirusowani address-list-timeout=15m

po odpaleniu regulki w ip firewall address-list powinni wyskakiwac deliwenci Smile

pozdrawiam mt na ktorym to odpalane jest to brama


dodam ze mozna postawic stronke www z informacją ze masz wira itd Smile i zrobic przekierowanko identyczne jak w przypadku stronki dla nie płacących.

Fajnie to działa _________________ Life is brutal i full zasadzkas ;/

www.isko.net.pl http://gry.isko.net.pl https://voip.isko.net.pl Teamspeak: gry.isko.net.pl:8787 Powrót do góry Zobacz profil autora Wyślij prywatną wiadomość Wyślij email Odwiedź stronę autora pionek1


Dołączył: 16 Kwi 2005 Posty: 45


PostWysłany: Wto Cze 27, 2006 9:25 am Temat postu: Odpowiedz z cytatem Zmień/Usuń ten post Usuń ten post Zobacz IP autora a jak podmienic taka stronę? i gdzie ją szukac ? Powrót do góry Zobacz profil autora Wyślij prywatną wiadomość Wyślij email Gularz_pl1


Dołączył: 20 Cze 2006 Posty: 371 Skąd: Żyrardów

PostWysłany: Wto Cze 27, 2006 11:37 pm Temat postu: Odpowiedz z cytatem Zmień/Usuń ten post Usuń ten post Zobacz IP autora pionek1 napisał: a jak podmienic taka stronę? i gdzie ją szukac ?


Search się kłania Smile http://forum.osbridge.pl/viewtopic.php?t=1411&highlight=przekierowanie+dla+niep%B3ac%B1cych


/ip firewall nat add chain=dstnat src-address-list=zawirusowani protocol=tcp src-port=80 action=dst-nat to-addresses=adres_serwera_z_stroną to-ports=200 comment="" disabled=no

I pojawia się coś takiego Smile http://net-elkon.pl:89

aha oczywiscie zasad stawiania serwera www nie bede wyjasniał _________________ Life is brutal i full zasadzkas ;/

www.isko.net.pl http://gry.isko.net.pl https://voip.isko.net.pl Teamspeak: gry.isko.net.pl:8787 Powrót do góry Zobacz profil autora Wyślij prywatną wiadomość Wyślij email Odwiedź stronę autora rena


Dołączył: 17 Sie 2005 Posty: 63 Skąd: Podkarpacie

PostWysłany: Pią Mar 16, 2007 9:26 pm Temat postu: Odpowiedz z cytatem Zmień/Usuń ten post Usuń ten post Zobacz IP autora / ip firewall filter add chain=input connection-state=invalid action=drop comment="" disabled=no add chain=input src-address=xxx.xxx.xxx.xxx action=accept comment="" disabled=no add chain=input src-address=xxx.xxx.xxx.xxx-xxx.xxx.xxx.xxx action=accept comment="VPN \ Access" disabled=no add chain=input connection-state=established action=accept comment="" \ disabled=no add chain=input connection-state=related action=accept comment="" disabled=no add chain=input protocol=icmp action=accept comment="" disabled=no add chain=input protocol=tcp dst-port=1723 action=accept comment="" \ disabled=no add chain=input action=drop comment="" disabled=no add chain=Dropped protocol=tcp dst-port=445 action=drop comment="" disabled=no add chain=forward connection-state=invalid action=drop comment="" disabled=no add chain=Dropped protocol=udp dst-port=445 action=drop comment="" disabled=no add chain=Dropped protocol=tcp dst-port=135-139 action=drop comment="" \ disabled=no add chain=Dropped protocol=udp dst-port=135-139 action=drop comment="" \ disabled=no add chain=forward p2p=all-p2p action=drop comment="P2P Drop" disabled=no add chain=forward connection-state=established action=accept comment="" \ disabled=no add chain=forward connection-state=related action=accept comment="" \ disabled=no add chain=forward src-address=0.0.0.0/8 action=drop comment="" disabled=no add chain=forward src-address=127.0.0.0/8 action=drop comment="" disabled=no add chain=forward src-address=224.0.0.0/3 action=drop comment="" disabled=no add chain=forward dst-address=0.0.0.0/8 action=drop comment="" disabled=no add chain=forward dst-address=127.0.0.0/8 action=drop comment="" disabled=no add chain=forward dst-address=224.0.0.0/3 action=drop comment="" disabled=no add chain=forward action=jump jump-target=Dropped comment="" disabled=no add chain=Dropped protocol=udp dst-port=3067 action=drop comment="" \ disabled=no add chain=Dropped protocol=tcp dst-port=7 action=drop comment="" disabled=no add chain=Dropped protocol=tcp dst-port=98 action=drop comment="" disabled=no add chain=Dropped protocol=tcp dst-port=111 action=drop comment="" disabled=no add chain=Dropped protocol=tcp dst-port=32271 action=drop comment="" \ disabled=no add chain=Dropped protocol=tcp dst-port=161 action=drop comment="" disabled=no add chain=Dropped protocol=tcp dst-port=456 action=drop comment="" disabled=no add chain=Dropped protocol=tcp dst-port=513 action=drop comment="" disabled=no add chain=Dropped protocol=tcp dst-port=1011 action=drop comment="" \ disabled=no add chain=Dropped protocol=tcp dst-port=1015 action=drop comment="" \ disabled=no add chain=Dropped protocol=tcp dst-port=1016 action=drop comment="" \ disabled=no add chain=Dropped protocol=udp dst-port=1025-1026 action=drop comment="" \ disabled=no add chain=Dropped protocol=tcp dst-port=1035 action=drop comment="" \ disabled=no add chain=Dropped protocol=tcp dst-port=2000 action=drop comment="" \ disabled=no add chain=Dropped protocol=tcp dst-port=6000 action=drop comment="" \ disabled=no add chain=Dropped protocol=tcp dst-port=6346 action=drop comment="" \ disabled=no add chain=Dropped protocol=tcp dst-port=6665-6669 action=drop comment="" \ disabled=no add chain=Dropped protocol=tcp dst-port=16660 action=drop comment="" \ disabled=no add chain=Dropped protocol=tcp dst-port=27374 action=drop comment="" \ disabled=no add chain=Dropped protocol=udp dst-port=27444 action=drop comment="" \ disabled=no add chain=Dropped protocol=tcp dst-port=27665 action=drop comment="" \ disabled=no add chain=Dropped protocol=udp dst-port=31335 action=drop comment="" \ disabled=no add chain=Dropped protocol=udp dst-port=31337 action=drop comment="" \ disabled=no add chain=Dropped protocol=udp dst-port=31789-31790 action=drop comment="" \ disabled=no add chain=Dropped protocol=udp dst-port=33434-33523 action=drop comment="" \ disabled=no add chain=Dropped protocol=udp dst-port=54320-54321 action=drop comment="" \ disabled=no add chain=Dropped protocol=tcp dst-port=65000 action=drop comment="" \ disabled=no add chain=Dropped protocol=tcp src-port=445 action=drop comment="" disabled=no add chain=Dropped protocol=udp dst-port=1900 action=drop comment="" \ disabled=no add chain=Dropped protocol=tcp dst-port=4899 action=drop comment="" \ disabled=no add chain=Dropped protocol=tcp dst-port=9898 action=drop comment="" \ disabled=no add chain=Dropped protocol=tcp dst-port=5554 action=drop comment="" \ disabled=no add chain=Dropped protocol=tcp dst-port=15118 action=drop comment="" \ disabled=no add chain=Dropped protocol=tcp dst-port=11768 action=drop comment="" \ disabled=no add chain=Dropped protocol=tcp dst-port=2745 action=drop comment="" \ disabled=no add chain=Dropped protocol=tcp dst-port=3127 action=drop comment="" \ disabled=no add chain=Dropped protocol=tcp dst-port=6129 action=drop comment="" \ disabled=no add chain=Dropped protocol=udp src-port=4000 action=drop comment="" \ disabled=no add chain=Dropped protocol=tcp dst-port=5000 action=drop comment="" \ disabled=no add chain=Dropped protocol=tcp dst-port=4444 action=drop comment="" \ disabled=no add chain=Dropped protocol=tcp dst-port=593 action=drop comment="" disabled=no add chain=Dropped protocol=tcp dst-port=3067 action=drop comment="" \ disabled=no add chain=Dropped protocol=tcp dst-port=2002 action=drop comment="" \ disabled=no add chain=Dropped protocol=tcp dst-port=1434 action=drop comment="" \ disabled=no add chain=Dropped protocol=tcp dst-port=4751 action=drop comment="" \ disabled=no add chain=Dropped protocol=tcp dst-port=1034 action=drop comment="" \ disabled=no add chain=Dropped protocol=tcp dst-port=17300 action=drop comment="" \ disabled=no add chain=Dropped protocol=tcp dst-port=996-997 action=drop comment="" \ disabled=no add chain=Dropped protocol=tcp dst-port=8998 action=drop comment="" \ disabled=no add chain=Dropped protocol=tcp dst-port=9996 action=drop comment="" \ disabled=no add chain=Dropped protocol=tcp dst-port=8967 action=drop comment="" \ disabled=no add chain=Dropped protocol=tcp dst-port=12345 action=drop comment="" \ disabled=no add chain=Dropped protocol=tcp dst-port=27374 action=drop comment="" \ disabled=no add chain=Dropped protocol=udp dst-port=3067 action=drop comment="" \ disabled=no add chain=BadIP src-address=219.148.0.0/16 action=drop comment="" disabled=no add chain=BadIP dst-address=219.148.0.0/16 action=drop comment="" disabled=no add chain=BadIP src-address=61.218.79.53 action=drop comment="" disabled=no add chain=BadIP dst-address=61.218.79.53 action=drop comment="" disabled=no add chain=BadIP src-address=140.113.94.156 action=drop comment="" disabled=no add chain=BadIP src-address=81.180.98.3 action=drop comment="" disabled=no add chain=BadIP src-address=24.73.97.226 action=drop comment="" disabled=no add chain=BadIP src-address=24.213.234.2 action=drop comment="" disabled=no add chain=BadIP src-address=68.77.210.17 action=drop comment="" disabled=no add chain=BadIP src-address=80.132.187.0/24 action=drop comment="" disabled=no add chain=BadIP src-address=80.183.7.0/24 action=drop comment="" disabled=no add chain=BadIP src-address=212.3.250.194 action=drop comment="" disabled=no add chain=BadIP src-address=218.104.138.0/24 action=drop comment="" \ disabled=no add chain=BadIP src-address=219.77.152.0/24 action=drop comment="" disabled=no add chain=BadIP src-address=67.75.20.0/24 action=drop comment="" disabled=no add chain=BadIP src-address=80.170.41.0/24 action=drop comment="" disabled=no add chain=BadIP src-address=217.42.241.0/24 action=drop comment="" disabled=no add chain=BadIP src-address=65.95.244.0/24 action=drop comment="" disabled=no add chain=BadIP src-address=172.141.77.0/24 action=drop comment="" disabled=no add chain=BadIP src-address=80.184.18.0/24 action=drop comment="" disabled=no add chain=BadIP src-address=213.130.144.0/24 action=drop comment="" \ disabled=no add chain=BadIP src-address=217.82.120.0/24 action=drop comment="" disabled=no add chain=BadIP src-address=65.33.234.0/24 action=drop comment="" disabled=no add chain=BadIP src-address=64.65.149.0/24 action=drop comment="" disabled=no add chain=BadIP src-address=202.155.21.0/24 action=drop comment="" disabled=no add chain=BadIP src-address=68.249.239.0/24 action=drop comment="" disabled=no add chain=BadIP src-address=201.128.224.0/24 action=drop comment="" \ disabled=no add chain=BadIP src-address=202.163.247.0/24 action=drop comment="" \ disabled=no add chain=BadIP src-address=61.231.97.0/24 action=drop comment="" disabled=no add chain=BadIP src-address=211.150.207.0/24 action=drop comment="" \ disabled=no add chain=BadIP src-address=150.209.133.0/24 action=drop comment="" \ disabled=no add chain=BadIP src-address=203.66.92.0/24 action=drop comment="" disabled=no add chain=BadIP src-address=134.174.177.0/24 action=drop comment="" \ disabled=no add chain=BadIP src-address=67.41.252.0/24 action=drop comment="" disabled=no add chain=BadIP src-address=172.191.90.0/24 action=drop comment="" disabled=no add chain=BadIP src-address=12.202.141.0/24 action=drop comment="" disabled=no add chain=BadIP src-address=64.246.106.0/24 action=drop comment="" disabled=no add chain=BadIP src-address=63.161.192.0/24 action=drop comment="" disabled=no add chain=BadIP src-address=68.126.211.0/24 action=drop comment="" disabled=no add chain=BadIP src-address=67.122.151.0/24 action=drop comment="" disabled=no add chain=BadIP src-address=67.71.175.0/24 action=drop comment="" disabled=no add chain=BadIP src-address=69.157.33.0/24 action=drop comment="" disabled=no add chain=BadIP src-address=66.122.215.0/24 action=drop comment="" disabled=no add chain=BadIP src-address=210.24.174.0/24 action=drop comment="" disabled=no add chain=BadIP src-address=62.234.82.0/24 action=drop comment="" disabled=no add chain=BadIP src-address=200.162.125.0/24 action=drop comment="" \ disabled=no add chain=BadIP src-address=80.135.191.0/24 action=drop comment="" disabled=no add chain=BadIP src-address=67.68.53.0/24 action=drop comment="" disabled=no add chain=BadIP src-address=195.56.225.0/24 action=drop comment="" disabled=no add chain=BadIP src-address=172.153.83.0/24 action=drop comment="" disabled=no add chain=BadIP src-address=63.150.217.0/24 action=drop comment="" disabled=no add chain=BadIP src-address=150.209.150.0/24 action=drop comment="" \ disabled=no add chain=BadIP src-address=139.55.103.0/24 action=drop comment="" disabled=no add chain=BadIP src-address=220.117.228.0/24 action=drop comment="" \ disabled=no add chain=BadIP src-address=220.89.208.0/24 action=drop comment="" disabled=no add chain=BadIP src-address=139.55.121.0/24 action=drop comment="" disabled=no add chain=BadIP src-address=139.55.99.0/24 action=drop comment="" disabled=no add chain=BadIP src-address=139.55.87.0/24 action=drop comment="" disabled=no add chain=BadIP src-address=139.55.95.0/24 action=drop comment="" disabled=no add chain=BadIP src-address=139.55.151.0/24 action=drop comment="" disabled=no add chain=BadIP src-address=139.55.23.0/24 action=drop comment="" disabled=no add chain=BadIP src-address=62.14.249.0/24 action=drop comment="" disabled=no add chain=BadIP src-address=221.233.24.0/24 action=drop comment="" disabled=no add chain=BadIP src-address=139.55.115.0/24 action=drop comment="" disabled=no add chain=BadIP src-address=221.148.225.0/24 action=drop comment="" \ disabled=no add chain=BadIP src-address=139.55.226.0/24 action=drop comment="" disabled=no add chain=BadIP src-address=210.17.38.0/24 action=drop comment="" disabled=no add chain=BadIP src-address=139.55.139.0/24 action=drop comment="" disabled=no add chain=BadIP src-address=202.222.18.0/24 action=drop comment="" disabled=no add chain=BadIP src-address=69.226.173.0/24 action=drop comment="" disabled=no add chain=BadIP src-address=87.2.119.0/24 action=drop comment="" disabled=no add chain=BadIP src-address=17.35.79.0/24 action=drop comment="" disabled=no add chain=BadIP src-address=221.202.84.0/24 action=drop comment="" disabled=no add chain=BadIP src-address=61.128.162.0/24 action=drop comment="" disabled=no add chain=BadIP src-address=4.136.105.0/24 action=drop comment="" disabled=no add chain=BadIP src-address=203.81.40.0/24 action=drop comment="" disabled=no add chain=BadIP src-address=200.158.126.0/24 action=drop comment="" \ disabled=no add chain=BadIP src-address=201.21.201.0/24 action=drop comment="" disabled=no add chain=BadIP src-address=222.141.140.0/24 action=drop comment="" \ disabled=no add chain=BadIP src-address=59.95.6.0/24 action=drop comment="" disabled=no add chain=BadIP src-address=219.146.96.0/24 action=drop comment="" disabled=no add chain=BadIP src-address=221.203.145.0/24 action=drop comment="" \ disabled=no add chain=BadIP src-address=219.146.78.0/24 action=drop comment="" disabled=no add chain=BadIP src-address=61.130.114.0/24 action=drop comment="" disabled=no add chain=BadIP src-address=61.128.161.0/24 action=drop comment="" disabled=no add chain=BadIP src-address=218.25.253.0/24 action=drop comment="" disabled=no add chain=BadIP src-address=61.136.152.0/24 action=drop comment="" disabled=no add chain=BadIP src-address=213.113.116.0/24 action=drop comment="" \ disabled=no add chain=BadIP src-address=202.97.181.0/24 action=drop comment="" disabled=no add chain=BadIP src-address=222.38.148.0/24 action=drop comment="" disabled=no add chain=BadIP src-address=124.0.209.130 action=drop comment="" disabled=no add chain=BadIP src-address=85.255.112.0/24 action=drop comment="" disabled=no add chain=BadIP src-address=69.50.160.0/20 action=drop comment="" disabled=no add chain=forward action=jump jump-target=BadIP comment="" disabled=no / ip firewall service-port set ftp ports=21 disabled=no set tftp ports=69 disabled=no set irc ports=6667 disabled=no set h323 disabled=no set quake3 disabled=no set gre disabled=no Powrót do góry Zobacz profil autora Wyślij prywatną wiadomość Wyślij email Kiepura Site Admin


Dołączył: 03 Lut 2007 Posty: 275 Skąd: Warszawa

PostWysłany: Sob Mar 17, 2007 12:03 am Temat postu: Odpowiedz z cytatem Zmień/Usuń ten post Usuń ten post Zobacz IP autora Postanowiłem że wyróżnię ten temat bo informacje w nim zawarte będą cenne dla nowych użytkowników.

Pozdrawiam Powrót do góry Zobacz profil autora Wyślij prywatną wiadomość Wyślij email Odwiedź stronę autora rena


Dołączył: 17 Sie 2005 Posty: 63 Skąd: Podkarpacie

PostWysłany: Wto Mar 20, 2007 11:37 am Temat postu: Odpowiedz z cytatem Zmień/Usuń ten post Usuń ten post Zobacz IP autora / ip firewall mangle add chain=forward src-address=xxx.xxx.xxx.xxx/24 action=mark-packet \ new-packet-mark=KLNTservers passthrough=no comment="" disabled=no add chain=forward dst-address=xxx.xxx.xxx.xxx/24 action=mark-packet \ new-packet-mark=KLNTservers passthrough=no comment="" disabled=no add chain=forward protocol=tcp src-port=80 action=mark-packet \ new-packet-mark=HTTP passthrough=no comment="HTTP" disabled=no add chain=forward protocol=tcp src-port=8080 action=mark-packet \ new-packet-mark=HTTP passthrough=no comment="" disabled=no add chain=forward protocol=tcp src-port=443 action=mark-packet \ new-packet-mark=HTTPS passthrough=no comment="" disabled=no add chain=forward protocol=tcp dst-port=80 action=mark-packet \ new-packet-mark=HTTP passthrough=no comment="" disabled=no add chain=forward protocol=tcp dst-port=8080 action=mark-packet \ new-packet-mark=HTTP passthrough=no comment="" disabled=no add chain=forward protocol=tcp dst-port=443 action=mark-packet \ new-packet-mark=HTTPS passthrough=no comment="" disabled=no add chain=forward protocol=gre action=mark-packet new-packet-mark=VPN \ passthrough=no comment="VPN" disabled=no add chain=forward protocol=ipsec-esp action=mark-packet new-packet-mark=VPN \ passthrough=no comment="" disabled=no add chain=forward protocol=ipsec-ah action=mark-packet new-packet-mark=VPN \ passthrough=no comment="" disabled=no add chain=forward protocol=udp dst-port=69 action=mark-packet \ new-packet-mark=VOIP passthrough=no comment="" disabled=no add chain=forward protocol=udp dst-port=123 action=mark-packet \ new-packet-mark=VOIP passthrough=no comment="" disabled=no add chain=forward protocol=udp src-port=2727 action=mark-packet \ new-packet-mark=VOIP passthrough=no comment="" disabled=no add chain=forward protocol=udp dst-port=2727 action=mark-packet \ new-packet-mark=VOIP passthrough=no comment="" disabled=no add chain=forward protocol=udp src-port=4569 action=mark-packet \ new-packet-mark=VOIP passthrough=no comment="" disabled=no add chain=forward protocol=udp dst-port=4569 action=mark-packet \ new-packet-mark=VOIP passthrough=no comment="" disabled=no add chain=forward protocol=udp src-port=5036 action=mark-packet \ new-packet-mark=VOIP passthrough=no comment="" disabled=no add chain=forward protocol=udp dst-port=5036 action=mark-packet \ new-packet-mark=VOIP passthrough=no comment="" disabled=no add chain=forward protocol=udp src-port=5060-5070 action=mark-packet \ new-packet-mark=VOIP passthrough=no comment="" disabled=no add chain=forward protocol=udp dst-port=5060-5070 action=mark-packet \ new-packet-mark=VOIP passthrough=no comment="" disabled=no add chain=forward protocol=udp src-port=10000-20000 action=mark-packet \ new-packet-mark=VOIP passthrough=no comment="" disabled=no add chain=forward protocol=udp dst-port=10000-20000 action=mark-packet \ new-packet-mark=VOIP passthrough=no comment="" disabled=no add chain=forward tos=184 action=mark-packet new-packet-mark=VOIP \ passthrough=no comment="" disabled=no add chain=forward tos=104 action=mark-packet new-packet-mark=VOIP \ passthrough=no comment="" disabled=no add chain=forward protocol=tcp src-port=20 action=mark-packet \ new-packet-mark=FTP passthrough=no comment="FTP" disabled=no add chain=forward protocol=tcp src-port=21 action=mark-packet \ new-packet-mark=FTP passthrough=no comment="" disabled=no add chain=forward protocol=tcp dst-port=20 action=mark-packet \ new-packet-mark=FTP passthrough=no comment="" disabled=no add chain=forward protocol=tcp dst-port=21 action=mark-packet \ new-packet-mark=FTP passthrough=no comment="" disabled=no add chain=forward protocol=tcp dst-port=22 action=mark-packet \ new-packet-mark=SSH passthrough=no comment="" disabled=no add chain=forward protocol=tcp src-port=22 action=mark-packet \ new-packet-mark=SSH passthrough=no comment="" disabled=no add chain=forward protocol=tcp src-port=23 action=mark-packet \ new-packet-mark=Telnet passthrough=no comment="Telnet" disabled=no add chain=forward protocol=tcp src-port=25 action=mark-packet \ new-packet-mark=SMTP passthrough=no comment="SMTP" disabled=no add chain=forward protocol=tcp dst-port=25 action=mark-packet \ new-packet-mark=SMTP passthrough=no comment="" disabled=no add chain=forward protocol=tcp src-port=110 action=mark-packet \ new-packet-mark=SMTP passthrough=no comment="" disabled=no add chain=forward protocol=tcp dst-port=110 action=mark-packet \ new-packet-mark=SMTP passthrough=no comment="" disabled=no add chain=forward protocol=udp src-port=53 action=mark-packet \ new-packet-mark=DNS passthrough=no comment="DNS" disabled=no add chain=forward protocol=udp dst-port=53 action=mark-packet \ new-packet-mark=DNS passthrough=no comment="" disabled=no add chain=forward protocol=tcp dst-port=3724 action=mark-packet \ new-packet-mark=peertopeer passthrough=no comment="Game Zone" disabled=no add chain=forward protocol=tcp dst-port=6114 action=mark-packet \ new-packet-mark=peertopeer passthrough=no comment="" disabled=no add chain=forward protocol=tcp dst-port=6881-6999 action=mark-packet \ new-packet-mark=peertopeer passthrough=no comment="" disabled=no add chain=forward p2p=all-p2p action=mark-packet new-packet-mark=peertopeer \ passthrough=no comment="Peer to Peer" disabled=no add chain=forward protocol=udp dst-port=6257 action=mark-packet \ new-packet-mark=peertopeer passthrough=no comment="" disabled=no add chain=forward action=mark-packet new-packet-mark=UNKNOWN passthrough=yes \ comment="Mark everything else UNKNOWN. This is a catchall" disabled=no