Jak na Mikrotiku neplatici podsunout informaci o neuhrazeni NETu

Místo, kde žádná otázka není hloupá.
mpcz
Příspěvky: 2188
Registrován: 12 years ago

Re: Jak na Mikrotiku neplatici podsunout informaci o neuhrazeni NETu

Příspěvekod mpcz » 6 months ago

Děkuji za přednášku. Jsem pouze zaučený, abychom strojaře neurazili. Mají své místo.
Já jen, že dotaz byl ohledně:
- časového vypnutí a zapnutí v ROS
- s tím, že problém HTTPS není v tomto případě podstatný, mpcz, 15.4.2018
0 x

Noxus28
Příspěvky: 307
Registrován: 6 years ago

Příspěvekod Noxus28 » 6 months ago

niečo na štýl tohoto?

Kód: Vybrat vše

ip firewall nat add chain=dstnat protocol=tcp src-address-list=neplatic dst-port=80 action=dst-nat to-addresses=1.2.3.4 to-ports=8
0 time=!19:00:00-19:30:00,fri,mon,sat,sun,thu,tue,wed
0 x
MTCNA, MTCRE, MTCTCE a furt toho viem málo 🤓

mpcz
Příspěvky: 2188
Registrován: 12 years ago

Příspěvekod mpcz » 6 months ago

Dík, asi to bude ono, nějaký čas tam vidím, ale pokud by to šlo, jednodušší pro mě je otisk něčeho ve winboxu. mpcz, 15.4.2018
winbox.jpg
winbox.jpg (14.39 KiB) Zobrazeno 723 x
0 x

Noxus28
Příspěvky: 307
Registrován: 6 years ago

Příspěvekod Noxus28 » 6 months ago

nat.png
nat.png (14.71 KiB) Zobrazeno 714 x
prepáč, vo winboxe nevidím pri čase možnosť "!" teda "okrem".
Ináč čas nájdeš pri zadávaní pravidla cez winbox v záložke "extra" - "Time"
0 x
MTCNA, MTCRE, MTCTCE a furt toho viem málo 🤓

mpcz
Příspěvky: 2188
Registrován: 12 years ago

Příspěvekod mpcz » 6 months ago

OK, dík, cítím, že cíl je blízko. Ten čas jsem tam našel, ale není mi jasné, jak dosáhnu "odšednutí/zašednutí" toho příslušného řádku=IP v zadané době v address listu. mpcz, 15.4.2018
0 x

Noxus28
Příspěvky: 307
Registrován: 6 years ago

Příspěvekod Noxus28 » 6 months ago

neviem či som dobre pochopil.
Adress list napr. "neplatici" si budeš musieť naplniť ručne alebo automatom z nejakého IS čo používaš.
Pravidlo Ti zabezpečí aby si v určenom čase presmeroval adresy ktoré sú v adresliste, v čase kedy pravidlo neplatí sa proste nebude uplatňovať tento adreslist, adresy nemusia byť "zašednuté", proste neplatí pre ne pravidlo a tým to hasne. Pokiaľ klient zaplatí tak ho len buď Ty alebo IS zmaže z adreslistu a hotovo.
Samozrejme bude záležať od umiestnenia pravidla v poradí.
0 x
MTCNA, MTCRE, MTCTCE a furt toho viem málo 🤓

mpcz
Příspěvky: 2188
Registrován: 12 years ago

Příspěvekod mpcz » 6 months ago

Ano, taky cítím, že tu je nesoulad v úvaze. V AL mám nyní všechny IP, které se historicky vyskytly v neplacení, konkrétně na této bráně (cca 800ks). Nyní jsou všechny zašedlé. Když účetní "systém" vyhodnotí neplatiče, odšedne jeho IP. Jediné, co je nyní potřeba, aby tyto odšedlé řádky byly aktivní (= přesměrované) celý den, mimo těch nastavitelných cca 10 minut denně. Děkuji za trpělivost. mpcz, 15.4.2018
0 x

Noxus28
Příspěvky: 307
Registrován: 6 years ago

Příspěvekod Noxus28 » 6 months ago

ok super :) už som sa zorientoval.
v tom prípade by som použil toto pravidlo z dôvodu že cez winbox nie je možné nastaviť čas s príznakom "!"

Kód: Vybrat vše

ip firewall nat add chain=dstnat protocol=tcp src-address-list=neplatic dst-port=80 action=dst-nat to-addresses=1.2.3.4 to-ports=80 time=!19:00:00-19:10:00,fri,mon,sat,sun,thu,tue,wed


upravil by som:
- src-adress-list= názov tvojho adreslistu obsahujúceho neplatičov
- to-addresses= adresa webservera kde budeš mať stránku s infom o nezaplatení
- time=! a časový rozsah v ktorom chceš aby internet na http fungoval, mimo tento rozsah sa bude pravidlo uplatňovať a teda presmerovávať klientov na stránku a vybrať dni (v mojom príklade všetky dni týždňa)

v adresliste ktorý Ti plní účtovníctvo nemusíš riešiť nič, pokiaľ je adresa zašednutá pravidlo pre ňu neplatí a teda presmerovanie neplatí, Pokiaľ adresa je "odšednutá" alebo novo pridaná - pravidlo s ňou štandardne pracuje =je presmerovaná. Ako náhle účtovníctvo adresu "zašedne" pravidlo bez ohľadu na čas prestáva platiť a klient sa dostane okamžite na internet. To znamená že čas sa určuje v pravidle o presmerovaní nie v adresliste
Finta je v tom nastavení Time pomocou "!"
ak by si to nechcel takto, tak potrebuješ dve pravidlá: jedno s trvaním 00:00:00 do 19:00:00 a druhé s trvaním od 19:10:00 do 23:59:59
dúfam že som Ti do ozrejmil dostatočne :)
1 x
MTCNA, MTCRE, MTCTCE a furt toho viem málo 🤓

rsaf
Příspěvky: 752
Registrován: 11 years ago

Příspěvekod rsaf » 6 months ago

Nic samo od sebe zašedávat a odešedávat nebude. Třeba pravidlo

Kód: Vybrat vše

ip firewall nat add chain=dstnat protocol=tcp src-address-list=neplatic dst-port=80 action=dst-nat to-addresses=1.2.3.4 to-ports=80 time=!19:00:00-19:10:00,fri,mon,sat,sun,thu,tue,wed

říká: pokud je protokol TCP a zdrojová adresa se vyskytuje v listu neplatici a cílový port je 80 a aktuální čas je jiný, než 19:00-19:10 v pondělí-neděli proveď dst-nat na adresu 1.2.3.4 na port 80

Tedy pravidlo se časově neaktivuje/nedeaktivuje (takže nešedne) jen podmínky platnosti pravidla jsou závislé na čase. Čas se, stejně jako všechny další podmínky, vyhodnocuje pro každý zpracovaný paket.
0 x

mpcz
Příspěvky: 2188
Registrován: 12 years ago

Příspěvekod mpcz » 6 months ago

Už se i bojím zeptat, ale snad to vydržíte: rozumím tomu dobře, že pro každou IP bude ve FW řádek?
Možná předbíhám: řešil někdo skript, který proběhne celý AL shora dolů a pokud nalezne řádek který je Enable, tak ho zašedne a změní name z "presmerovat-na-web" na "PNW"?
Druhý skript, který který proběhne celý AL shora dolů a pokud nalezne řádek který má name="PNW", tak ho odšedne a změní name na "presmerovat-na-web"?
To by asi nemělo být nijak složité, že? (samozřejmě jak pro koho). Děkuji, mpcz, 15.4.2018
0 x

Noxus28
Příspěvky: 307
Registrován: 6 years ago

Příspěvekod Noxus28 » 6 months ago

nie vo FW nemusíš mať riadok pre každú IP to práve riešia address listy, to znamená že 1 pravidlo sa uplatňuje na všetky IP ktoré sú v danom adresliste (pokiaľ nie sú disabled - "zašednuté")

tj pravidlo nepíšeš pre ip ale pre address list či už source alebo destination
0 x
MTCNA, MTCRE, MTCTCE a furt toho viem málo 🤓

mpcz
Příspěvky: 2188
Registrován: 12 years ago

Příspěvekod mpcz » 6 months ago

Ano, jenže já už tam pravidlo mám, pravděpodobně funguje trošku odlišně. Dík, mpcz, 15.4.2018
NAT1.jpg
NAT1.jpg (19.94 KiB) Zobrazeno 586 x

NAT2.jpg
NAT2.jpg (10.67 KiB) Zobrazeno 586 x

NAT3.jpg
NAT3.jpg (15.05 KiB) Zobrazeno 586 x
0 x

Noxus28
Příspěvky: 307
Registrován: 6 years ago

Příspěvekod Noxus28 » 6 months ago

redirect ti spraví presmerovanie na jednu z IP routera, teda ti to presmeruje na tvoj router a port 8080, máš tam asi nejakú web službu nie?
0 x
MTCNA, MTCRE, MTCTCE a furt toho viem málo 🤓

rsaf
Příspěvky: 752
Registrován: 11 years ago

Příspěvekod rsaf » 6 months ago

Pokud ti to funguje a chceš jen na 10 minut denně povolit neplatičům internet, tak doklikej to časové pravidlo na záložce Extra v sekci Time a je to.

Ten address list je právě proto, aby se nemuselo opakovat mnoho řádků ve firewallu nebo to řešit nějakými JUMPy do jiného chainu. K čemu by byl addresslist když by se musela opisovat hromada pravidel?
S tím skriptem jsem to nepochopil teda vůbec.

Četl jsi jak jsem popisoval a jak konkrétně to pravidlo dělá? Chápeš alespoň trošku jak ta pravidla fungují?
Data po síti jezdí ve vozíčcích, kterým říkáme pakety. Pokud vozíček jede po určité koleji (třeba chain prerouting) platí pro něj všechny dopravní značky (pravidla) která jsou u té koleje umístěna. V tomto konkrétním případě se na značce píše "změň cílovou stanici", dodatkovými tabulkami je pak určeno, že to platí jen pro vozíčky které jsou typu TCP, jedou v cílové stanici na nástupiště číslo 80 a vyjeli z některé ze stanic uvedených ve věstníku v seznamu "presmerovat-na-web"
Pokud dotčené vozíčky chceš do jiné stanice přesměrovávat jen někdy podle času, nemusíš kvůli toho 2x denně v přesných časech vydávat nový věstník. Stačí k té dopravní značce dodat jen dodatkovou tabulku "neplatí v době od 19:00 do 19:10".
0 x

mpcz
Příspěvky: 2188
Registrován: 12 years ago

Příspěvekod mpcz » 6 months ago

Noxus28 píše:redirect ti spraví presmerovanie na jednu z IP routera, teda ti to presmeruje na tvoj router a port 8080, máš tam asi nejakú web službu nie?

Ano, mám, to už funguje léta, jenom mi nějaká dobrák přehodil IP adresu v routeru a nemohl jsem se s tím samozřejmě domluvit. Už vše funguje tak, jak má. Ještě možná nastanou menší korekce toho času. Dík za trpělivost. mpcz, 15.4.2018
0 x


Zpět na „Začátečnické témata“

Kdo je online

Uživatelé prohlížející si toto fórum: Žádní registrovaní uživatelé a 2 hosti