|
Ключ
Эта строка удалена.
Это слово было удалено. Это слово было добавлено.
Эта строка добавлена.
|
Изменения (26)
просмотр истории страницы... |
| {toc} |
| h2. Необходимо создать сам хук: |
| {panel} |
... |
| {panel} |
| h2. Наполнить его следующим содержимым: |
| h2. Хук для IPv4: |
| {code} |
... |
| } |
| # Отправляем на оборудование команду на блокирование ip IP адреса |
| ip_block_full_add() { local ip="$1" echo "/ip firewall address-list add list=reductor_ip_block_list address=$ip comment=${ip}_reductor_ip_block" | $SSH } |
| # Отправляем на оборудование команду на снятие блокировки ip IP адреса |
| ip_block_full_del() { local ip="$1" |
... |
| mikrotik_firewall_prepare() { echo "/ip firewall filter add chain=reductor_forward comment=reductor_ip_block dst-address-list=reductor_ip_block_list action=drop" | $SSH |
| echo "/ip firewall filter add chain=forward action=jump jump-target=reductor_forward place-before=0" | $SSH |
| echo "/ip firewall filter add chain=forward action=jump jump-target=reductor_forward place-before=0" | $SSH |
| } |
... |
| {code} |
| h2. Хук для IPv6: |
| {code} |
... |
| } |
| # Отправляем на оборудование команду на блокирование ip IP адреса |
| ip_block_full_add() { local ip="$1" echo "/ipv6 firewall address-list add list=reductor_ip6_block_list address=$ip comment=${ip}_reductor_ip6_block" | $SSH } |
| # Отправляем на оборудование команду на снятие блокировки ip IP адреса |
| ip_block_full_del() { local ip="$1" |
... |
| {code} |
| {info} Для одновременной работы нескольких хуков, воспользуйтесь "[данной статьей|REDUCTOR9:Анонсирование одного и более списков ip на несколько маршрутизаторов]" {info} |
| h2. Чтобы всё заработало нужно: |
| 1. Указать правильные IP адрес Микротика MikroTik и логин в переменной $SSH |
| 2. Сгенерировать ключи в чруте chroot |
| |
| {code} chroot /app/reductor/ /usr/bin/ssh-keygen {code} |
| (на все вопросы - eEnter) |
| 3. Настроить авторизацию по ключам: {code} |
... |
| Стоит учесть, что {color:#000000}могут быть проблемы с ssh-copy-id на версии прошивки МТ ниже 6.3.1{color} {note} |
| На Редукторе в В консоли Carbon Reductor DPI выполняем (после заполнения реквизитов на доступ по ssh): |
| {code} |
| # подготовка цепочек файрвола на микротике. |
| # подготовка цепочек firewall на MikroTik. |
| chroot /app/reductor . /cfg/userinfo/hooks/events.sh |
... |
| {code} |
| Или на микротике: MikroTik: |
| {code} |
... |
| Всю папку .ssh/ необходимо скопировать по пути /app/reductor/cfg/ чтобы ключи не пропали при обновлении: {code} |
| chroot /app/reductor/ |
| mkdir -p /app/reductor/cfg/root/.ssh/ /cfg/root/.ssh/ |
| cp -r /app/reductor/root/.ssh /app/reductor/cfg/.ssh |
| cp -r /root/.ssh /cfg/.ssh |
| {code} {info} |
| Если была физическая замена роутера (с сохранением старых конфигов) - необходимо почистить нужную строчку в файле известных хостов: |
| Если была физическая замена роутера (с сохранением старых конфигурационных файлов) - необходимо удалить нужную строчку в файле известных машин: |
| {code} chroot /app/reductor |
... |
| {code} {info} |
| Для дополнительной фильтрации входящего трафика необходимо добавить правило на Микротик: {code} /ip firewall filter add chain=reductor_forward comment=reductor_ip_block src-address-list=reductor_ip_block_list action=drop {code} |