| forum.bitel.ru http://forum.bitel.ru/ |
|
| Управление шлюзом MikroTik http://forum.bitel.ru/viewtopic.php?f=7&t=845 |
Страница 1 из 1 |
| Автор: | ArtKZ [ 18 мар 2008, 10:33 ] |
| Заголовок сообщения: | Управление шлюзом MikroTik |
Уважаемые разработчики, а возможно-ли добавить в функционал правила для состояния шлюза "Удален"? Суть в следующем - чтобы не прописывать вручную на Микротике блок адресов, подпадающих под "drop", я собираюсь использовать примерно следующую схему: Mikrotik --------- Код: ip firewall add chain=forward action=drop dst-address-list=billing_close ip firewall add chain=forward action=drop src-address-list=billing_close ip firewall add chain=forward action=accept dst-address-list=billing_open ip firewall add chain=forward action=accept src-address-list=billing_open BGBilling ---------- Код: <OPEN> ip firewall address-list remove [find comment="!!!{CID}!!!"] <LOOP> ip firewall address-list add address={A} list=billing_open comment=!!{CID}!! </LOOP> </OPEN> <CLOSE> ip firewall address-list remove [find comment="!!{CID}!!"] <LOOP> ip firewall address-list add address={A} list=billing_close comment=!!!{CID}!!! </LOOP> </CLOSE> А вот после всего этого напрашивается правило, которое выполнялось-бы при переводе шлюза в состояние "Удален": Код: <DELETE> ip firewall address-list remove [find comment="!!!{CID}!!!"] ip firewall address-list remove [find comment="!!{CID}!!"] </DELETE> И еще... в документации в качестве примера для закрывающего правила указано: Код: ip firewall address-list remove "!!{CID}!!" Данная команда удалает только один адрес из списка, для удаления всех адресов надо использовать либо Код: <LOOP> ip firewall address-list remove "!!{CID}!!" </LOOP> либо Код: ip firewall address-list remove [find comment="!!{CID}!!"]
Правда во втором варианте в некоторых случаях возможен сбой при выполнении данной команды в серсиях RouterOS до 3.х. |
|
| Автор: | stark [ 18 мар 2008, 17:21 ] |
| Заголовок сообщения: | Re: Управление шлюзом MikroTik |
ArtKZ писал(а): И еще... в документации в качестве примера для закрывающего правила указано: Код: ip firewall address-list remove "!!{CID}!!" Данная команда удалает только один адрес из списка, для удаления всех адресов надо использовать либо Код: <LOOP> ip firewall address-list remove "!!{CID}!!" </LOOP> либо Код: ip firewall address-list remove [find comment="!!{CID}!!"] Спасибо , исправим |
|
| Автор: | stark [ 18 мар 2008, 17:43 ] |
| Заголовок сообщения: | Re: Управление шлюзом MikroTik |
ArtKZ писал(а): Уважаемые разработчики, а возможно-ли добавить в функционал правила для состояния шлюза "Удален"?
Суть в следующем - чтобы не прописывать вручную на Микротике блок адресов, подпадающих под "drop", я собираюсь использовать примерно следующую схему: Mikrotik --------- Код: ip firewall add chain=forward action=drop dst-address-list=billing_close ip firewall add chain=forward action=drop src-address-list=billing_close ip firewall add chain=forward action=accept dst-address-list=billing_open ip firewall add chain=forward action=accept src-address-list=billing_open BGBilling ---------- Код: <OPEN> ip firewall address-list remove [find comment="!!!{CID}!!!"] <LOOP> ip firewall address-list add address={A} list=billing_open comment=!!{CID}!! </LOOP> </OPEN> <CLOSE> ip firewall address-list remove [find comment="!!{CID}!!"] <LOOP> ip firewall address-list add address={A} list=billing_close comment=!!!{CID}!!! </LOOP> </CLOSE> А вот после всего этого напрашивается правило, которое выполнялось-бы при переводе шлюза в состояние "Удален": Код: <DELETE> ip firewall address-list remove [find comment="!!!{CID}!!!"] ip firewall address-list remove [find comment="!!{CID}!!"] </DELETE> А вот насчет этого я не совсем понял ..зачем вам это нужно ? чем это лучше предложенной схемы ? т.е чем вас ну устраивает схема : закрыто для всех по умолчанию, но для тех, кого нужно открываем, а потом удаляем эти правила при закрытии ? зачем прописывать еще правила в billing_close? |
|
| Автор: | ArtKZ [ 20 мар 2008, 00:01 ] |
| Заголовок сообщения: | |
Дело в том, что у меня Микротики обслуживают не только IPN клиентов, там еще и PPPoE, HotSpot, транзитный трафик... и во всем этом хозяйстве используется смешанно пара сеток класса С. Поэтому я не могу на шлюзе сделать "закрыто все по умолчанию", а только закрывать тот кусочек адресного пространства, который выделен клиенту IPN. Естественно, вручную делать этого для каждого клиента не хочется, поэтому и придумал предложенный мной вариант. А поскольку в этом варианте при удалении клиента на шлюзе отстанутся запрещающие правила для удаляемого клиента, вот и возникло желание их автоматичеки подчищать при переводе шлюза в состояние "Удален"... по ходу дела можно будет и роутинг там-же снимать. Вообще конечно, с точки зрения автоматизации процесса управления клиентами и борьбы за производительность шлюзов, не очень удобно то, что адресное пространство задается не в виде сеть/маска, а как набор одиночных адресов. Еще было-бы желательно передавать правилам информацию об интерфейсе, к которому подключен клиент. |
|
| Автор: | stark [ 28 мар 2008, 13:23 ] |
| Заголовок сообщения: | |
Документацию поправил. Насчет добавления правил на удаления шлюза подумаем , возможно введем эту возможность в версии 4.5 |
|
| Автор: | stark [ 23 окт 2008, 19:25 ] |
| Заголовок сообщения: | |
stark писал(а): Документацию поправил. Насчет добавления правил на удаления шлюза подумаем , возможно введем эту возможность в версии 4.5
Добавили |
|
| Страница 1 из 1 | Часовой пояс: UTC + 5 часов [ Летнее время ] |
| Powered by phpBB® Forum Software © phpBB Group http://www.phpbb.com/ |
|