接口列表在MikroTik RouterOS中已经出现很长时间了,但是通过观察,并不是每个人都知道它们,因此不要使用它们。
内容描述
从名称-接口列表(与地址列表相同)(仅带有接口)可以清楚地看出什么。 不要将其与网桥和边界接口混淆,这是用于不同任务的三种不同技术。 此功能大约在一年前出现,并存在于RouterOS 6的所有当前(当前版本和错误修正)版本中。
要记住的主要事情:列表中的接口仍然是独立的,流量将不会开始通过它们(如网桥),也不会并行化(如边界),这对您来说很可笑,但是有一些聪明人。
标准清单
[接口]-> [接口列表]-> [列表]
默认情况下,有三个列表:全部,无,动态。 对于前两个,一切都很清楚,当前是通过某些ppp连接和“检测Internet”填充动态的。
控制台选项:
/interface list print
建立清单[接口]-> [接口列表]-> [列表]-> [+]
名称-名称
包含-将指定列表中的接口包含在新列表中
exclude-从新列表中将接口从指定列表中排除
控制台选项:
/interface list add name=test
包括例子以下接口可用于访问Internet:
ether1-wan(真实IP)
ether2-wan(真实IP)
l2tp-vpn1(灰色ip)
l2tp-vpn2(灰色ip)
从前两个方面,我们期望从外部传入连接,从第二个方面,如果它们确实如此,则我们不感兴趣。
ether1-wan和ether2-wan接口组合成一个wan列表。 绿线。
l2tp-vpn1和l2tp-vpn2接口组合成一个vpn列表。 红线。
inet列表包含(包括)wan和vpn。 黑线。
现在,在防火墙中,您可以使用wan和vpn拆分传入(和从wan / vpn端传递)流量,并编写单独的规则,然后通过inet将传出(并传递到wan / vpn端)过滤器在一起(很可能是新的过时的)。 。
一个例子很笨拙,但我别无他法。
添加接口
您可以添加任何接口:以太网,WLAN,网桥,VLAN,VPN,VIF,...。所有操作均从主菜单[接口列表]完成。
控制台选项:
/interface list member add interface=ether1 list=test
防火墙过滤器中的用法
主要应用是简化防火墙规则,假设您有一个vpn集线器,并且需要棘手地配置通过流量的规则,但要使其尽可能清晰。
之前:
检查入接口,发送到链1。
在chain-1中,检查出接口,然后发送到chain-2。
在第二条链中,我们建立了规则。
因此,对于每个接口。 4个连接-8条规则,8个连接-16条规则。 连接是动态的吗? 您可以退出并使用所有ppp,将其放入链1中,然后返回'您需要链1中的额外接口。
现在:
我们将所有接口添加到一个列表中,并使用相同的in-interface-list和out-interface-list创建一个规则,然后将其转换为具有过滤规则的链。 它已经明显变短了。
在此方案中有一个缺点,如果您查看“更早的版本”,则对于每个接口,预期接口上预期的地址子网都是子网,在新方案中,您可以将所有接口驱动到地址列表中,但是子网的地址将不再明确地连接到接口。另一个示例是您有多个提供程序,并且您懒得重复每个提供程序的规则:
在防火墙nat中的用法
当界面列表刚刚出现时,在论坛上mikrotik抱怨nat中界面列表的工作,现在似乎已经修复了。 我决定去调查
测试台:
该方案没有足够的地址用于相同结果:
链src-nat:
*假面舞会-作品。 根据输出接口,替换相应的ip。
* src-nat-有效。 仅将指定的ip替换为存在该ip的接口。
*相同-有效。 与src-nat类似。
链dst-nat:
*重定向-有效。
* dst-nat-可以。 包括结合假面舞会。
* netmap-有效。 如果使用它代替dst-nat。 当按预期使用时,它也可以工作。
在防火墙中的用法
可以用 例如,如果您需要标记来自队列树接口的所有传入流量。
VPN配置文件中的用法
我们回想起区域VPN的一个例子。 第五个区域已添加,您可以将其手动添加到接口列表中,但是您可以更轻松地进行操作,并在vpn配置文件中指定连接时将放置接口的列表,而不管它是绑定的还是客户端从列表断开接口时自动创建的接口已删除。 对于传出的VPN,这也适用。
[PPP]-> [个人资料]
一切都很好,但是有一个错误(在发布时,版本为RoS 6.42.6)。 如果创建绑定并将其静态添加到配置文件中指定的列表中,则将不会建立连接。 在日志(服务器)中将如下所示:
桥梁用途
您可以将接口列表指定为网桥的成员,但是只会添加能够在第2层上工作的接口(以太网,WLAN,绑定,eoip,ovpn以太网...),其他网桥除外。
检测互联网
该功能出现在当前固件版本中,尚无法使用。
[接口]-> [检测Intranet]
*检测接口列表-包含要执行检查的接口的列表。
LAN接口列表-将所有活动的layer2接口添加到的列表。 获取局域网状态。
WAN接口列表-将所有接口lte和vpn隧道添加到的列表。 也具有不具有dhcp服务器且地址8.8.8.8可用的lan状态的接口。 除了所有内容之外,mikrotik还将在接口中添加dhcp客户端,以尝试自动获取设置。
* Internet接口列表-如果有可用的cloud.mikrotik.com opin0000,则具有广域网状态的接口列表。 尝试3次失败后,每分钟重新检查一次,接口将返回wan状态。 更改验证地址,否则间隔不能。
[接口状态]-测试结果。
这是它应如何工作的,但实际上,不会发送对cloud.mikrotik.com的请求。 我们正在等待,并希望:他们将解决该问题; 取消限制; 添加了在更改接口状态时执行脚本的功能。
其他
在当前分支中,MikroTik认为更值得使用接口列表,现在通过接口列表而不是特定接口配置以下选项:
* [IP]-> [邻居]-> [发现设置]
* [工具]-> [MAC-服务器]-> [Mac-Telnet服务器]和[Mac-Winbox服务器]
升级后,不要忘记重新配置。
脚本和cli
您可能会遇到以下情况:列表中的接口之一变得未知(如果在从列表中删除接口之前先删除接口),而我个人无法找到一种使用cli和脚本简单地(无需清除整个列表并过度填充)删除此类接口的方法。 如果有人知道,请在评论中写。
仅此而已。 我希望在世界范围内采用桥接接口的联合的配置会更少,以减少防火墙中的规则。