ip->firewall->filter kaip ir privalo būti virš eilutės (drop all) add action=drop chain=input comment="atmesti visa imput i WAN" in-interface=ether1 tokios dvi: chain=input connection-state=established in-interface=ether1 action=accept chain=input connection-state=related in-interface=ether1 action=accept Paskutinė ip firewall eilutė ip->firewall->filter nereikalinga, nes atmeta viską iš išorės anksčiau minėta drop all eilutė ir po jos niekas vevykdoma kas ateina iš eth1 Jei gerai supratau daug vidinių ip adresų išeina pe vieną išorinį ip (PAT atvejis) tada ip->firewall->nat gal ir veikia bet paprastai turėtų būti taip: > add (action=src-nat ->šios nuostatos nenaudočiau) chain=srcnat > src-address=192.168.2.0/24 to interface=eth1 action=masquerade > (to-addresses=PublicIP->šios nuostatos nenaudočiau) Beje jei eina pingas dar neaišku iš kur grįžta reikėtų pasibandyti traceroute IP (windows atveju tracert IP) ir matysis iš kokio host grįža pingas jei naudojamas bridge žemiau pateikta nuostata veiks jei bridge lenetelėje settings skiltyje uždėta nuostata Use IP Firewall > add action=drop chain=forward comment="atmesti svecius nuo vietinio > tinklo" dst-address=192.168.2.0/24 src-address=192.168.3.0/24 Dar geras stebėjimo būdas atsidarius ip firewall lenetelę winboxe gyvai stebėti taiskyklių skaitliukus kreipiantis į windows share (gaima visus nunulinti) tada matysis kuri taisyklė apdoroja paketus ir gal pavyks nustatyti kur stringa. Jei didėja skaitliukas drop all tada bus aišku kad kažko aukščiau trūksta. On 2014-03-19 17:03:52 +0000, Vitas said: > Tinklo topologija tokia: > Mikrotikas su Wifi ir už mikrotiko switchas su kompais. Wifi ir ether > su swithu apjungta į bridga su bendru ip pool'u. > > Kadangi kompai pajungti tarpusavyje per switcha, tai visi visus sharus > mato, viskas ok. > Jei kokį kompą pajungiam per wifi, tai kompai toliau puikiai pinginasi > tarpusavyje, naudojasi internetu, bet jau prie sharu prieiti negalima. > > Pasijungus per vpn irgi prie sharu neprileidžia. > Tos jausmas, kad mikrotikas atmeta bet koki duomenų srautą, susijusi su > windowsu sharais. > > firewallo nustatymai: > /ip firewall filter > add chain=input comment="Leidziam prisjungima Winbox" dst-port=8291 > protocol=tcp > add chain=input dst-port=1723 in-interface=ether1 protocol=tcp > add chain=input in-interface=ether1 protocol=gre > add action=drop chain=forward comment="atmesti svecius nuo vietinio > tinklo" dst-address=192.168.2.0/24 src-address=192.168.3.0/24 > add action=drop chain=input comment="atmesti PING paketus is isores" > in-interface=ether1 protocol=icmp > add action=drop chain=input comment="atmesti visa imput i WAN" > in-interface=ether1 > add chain=forward comment="lesiti established forward" > connection-state=established in-interface=ether1 > add action=drop chain=forward comment="atmesti forward is isores" > in-interface=ether1 > > /ip firewall nat > add action=src-nat chain=srcnat src-address=192.168.2.0/24 > to-addresses=PublicIP > add action=src-nat chain=srcnat comment="sveciu tinklas" > src-address=192.168.3.0/24 to-addresses=PublicIP > /ip firewall service-port > set irc disabled=yes > > >> 1. kai jungiamasi per wifi (jei mikrotikas veikia kaip switch su tais >> portais kur prijungti kompai "default nustatymai") tada problemų reikia >> iškoti kompu sharingo nustatymuose, pagrindinai prieigos teisės. Galima >> aišku pabandyti prijungti ir kompą iš kurio jungiamasi laidu ar tas pat >> vyksta? >> 2. Dėl vpn viskas veikia veikia per bridge nor ir nelebai ten matosi >> (jei nėra kokių nors apripbojimų pagal firewall tai maršrutizuojama tik >> pagal routų lentelę). Gal geriausia būtų problemas spresti pagal 1 >> punktą, jei ten pavyks tai turėtų veikti ir per vpn. >> >> >> On 2014-03-19 16:03:56 +0000, Vitas said: >> >>> sveiki, >>> >>> yra mikrotikas ir už jo kompai su pašarintais katalogais. Kai jungiuosi >>> ar per wifi ar per vpn, bet esmė, kad per mikrotika, tai kompus matau >>> (ping'as eina), bet niekaip negaliu pasiekti sharų. Kas čia per bėda?