用routeros忽然出现的怪问题。

billliu67

请问一下，我是使用routeros的，今天公安那边过来说检测不了我们的数据，接着我这边通过RouterOS的机器也ping不了对方的服务器，但是2003的服务器直接出外网的却可以。这个是什么原因呢？对方说他们有防火墙.....不知道怎么解决呢？急~~~谢谢我这里是100M光纤。

sblive

在防火墙中把ICMP协议的规则去掉试试。

jack_i5

应该是这样外网进来先到HUB，然后再进路由器外网网卡，然后再从内网网卡接交换机。这样，公安就可以看到你。有人说过用镜像功能代替HUB，我没条件试，哪位同学可以共享一下呢？

billliu67

SBlive兄，我的防火墙那里没有开启ICMP的功能哦。jack_i5，我一直都是使用这样的网络结构，现在不是公安看不到我的问题，而是通过routeros的机器ping 公安的服务器都不通.....但是一设置为外网的ip后（就是不通过routeros）又马上可以ping通了。如果使用的是2003的代理的话，也是一切正常。

madlife

建议，reset一下，firewall中什么也不要设置就让它能代理上网就行了，再看看公安的联系找出是ros设置的问题，还是网络的连接的问题感谢　这个论坛带给我的氛围

billliu67

QUOTE (madlife @ Mar 22 2005, 01:33 PM)
建议，reset一下，firewall中什么也不要设置就让它能代理上网就行了，再看看公安的联系找出是ros设置的问题，还是网络的连接的问题感谢　这个论坛带给我的氛围  
  已经尝试过了，不行啊........5555555555555

yintian

你这个问题解决了吗？我也遇到了这个问题，是不是公安的网络神探和你在同一网段？

jack_i5

此贴印象中有一段时间了

楼主的问题不知解决否？我想应该是解决了

在此希望其他同学在问题得到解决以后能回来通知一声，算是善始善终吧

yintian

大哥，你能不能帮我解决一下这个问题啊

liu00901

把你的防火墙规则贴上来看看,

/ ip firewall rule input
add tcp-options=non-syn-only connection-state=established action=accept \
comment="Accept established connections" disabled=no
add connection-state=related action=accept comment="Accept related \
connections" disabled=no

有这两条就通了...
广州市公安部门监控的是收费机,配合puwin或wx2003/2004接口,定时把顾客上下机相关信息发到网络监察科,上网记录和黄网拦截由接在路由后面的网安之星完成..

网安之星和收费机都会发信息到以下地址>>>
网安之星
211.136.20.203 udp 53   (移动通讯的dns??  )
xx.xxx.xx.112  tcp 5050

收费机
xx.xxx.xx.112 udp 18060
xx.xxx.xx.113 tcp  9556
xx.xxx.xx.113 tcp  9556
xx.xxx.xx.113 tcp  9556

以上任一不通就,,,,电话响了  ...网络监察科:>>>>你网吧咋回事?不想混了是不?  

有没有绑MAC?    有没有拦截以上类似的监控端口?
监控IP,DNS,网关设置是否正确??

加条规则对它放行试试...

yintian

我这里的情况不是这样的，网络神探的服务器和我的WAN口IP在同一网段，如果我子网设置成24的话，那就ping不通，同网段的其他IP，除了网关，如果我填了26也就是255.255.255.192的话，好象什么都不通了，奇怪ing。这两天为这事头疼呢。因为电信给的子网就是26。明天再去看看，如果好了，我会回帖的。郁闷中。。。。

feifacz

这个问题我已经解决了,拿一个带镜像功能的交换机,比如现在我把交换机1口设置为镜像端口,2号口设置为被镜像端口,光纤下来直接进ROS路由器,然后ROS内网的网卡接在交换机的2口上,我ROS内网的IP为192.168.0.254,公安的网络神探接在交换机的1口上,IP地址为:192.168.0.250,还有一步我不知道是不是有必要,就是把公网IP的7070和7474端口指向了网络神探机器的7070和7474,这样子做之后,公安局就可以非常顺利的监测到我们网吧里的数据了,效果应该比用HUB好多了吧!

alin999

QUOTE(feifacz @ Jul 9 2005, 08:50 PM)
这个问题我已经解决了,拿一个带镜像功能的交换机,比如现在我把交换机1口设置为镜像端口,2号口设置为被镜像端口,光纤下来直接进ROS路由器,然后ROS内网的网卡接在交换机的2口上,我ROS内网的IP为192.168.0.254,公安的网络神探接在交换机的1口上,IP地址为:192.168.0.250,还有一步我不知道是不是有必要,就是把公网IP的7070和7474端口指向了网络神探机器的7070和7474,这样子做之后,公安局就可以非常顺利的监测到我们网吧里的数据了,效果应该比用HUB好多了吧!
[right][snapback]53449[/snapback][/right]




没更便宜的方法了吗

带镜像功能的交换机 要多少钱？

阳光浪子

QUOTE(alin999 @ Jul 9 2005, 09:10 PM)
QUOTE(feifacz @ Jul 9 2005, 08:50 PM)
这个问题我已经解决了,拿一个带镜像功能的交换机,比如现在我把交换机1口设置为镜像端口,2号口设置为被镜像端口,光纤下来直接进ROS路由器,然后ROS内网的网卡接在交换机的2口上,我ROS内网的IP为192.168.0.254,公安的网络神探接在交换机的1口上,IP地址为:192.168.0.250,还有一步我不知道是不是有必要,就是把公网IP的7070和7474端口指向了网络神探机器的7070和7474,这样子做之后,公安局就可以非常顺利的监测到我们网吧里的数据了,效果应该比用HUB好多了吧!
[right][snapback]53449[/snapback][/right]




没更便宜的方法了吗

带镜像功能的交换机 要多少钱？
[right][snapback]53450[/snapback][/right]



偶也想知道

mywangba

端口镜像的交换机 便宜的600多点就可买到。现在有些网吧型路由器也带了镜像功能，就一步到位了。

其实这位兄弟，用hub也一个道理，只是你的接法出了点问题！