colinardo
20.02.2025, aktualisiert am 22.02.2025
view545
view0
3
Beitrags-Menü
  • Ausdrucken
  • Internen Beitrags-Link kopieren
  • Externen Beitrags-Link kopieren

Mikrotik Scripting: Using the "place-before" parameter to place fw rule "after" other rule

EnglischAnleitungMikroTik Entwicklung Firewall
This is a quick trick to programmatically place firewall rules after specific rules, not before.

Normally you already have the place-before parameter when adding firewall rules, but there can be times when you programmatically need to place the rule after another specific rule.

Assumed you want to insert a new rule after the common "established, related" states firewall rule in the input chain, you could do this

/ip firewall filter add chain=input protocol=tcp dst-port=22 action=accept place-before=([get ([find chain=input && connection-state ~ "established"]->0)]->".nextid")

This places the rule after it. It makes use of the .nextid property of the entry to get the internal id of the next item in the list. This also works when the rule is the last one in the chain, because the .nextid property will then automatically receive the maximum internal id reference *ffffffff.

The above oneliner assumes that a specific rule already exists, otherwise this command will fail. So to be secure you normally want to do a check if the rule exists:

{
    :local rule ([/ip firewall filter find chain=input && connection-state ~ "established"]->0)  
    :if ($rule) do={
       /ip firewall filter add chain=input protocol=tcp dst-port=22 action=accept place-before=([get $rule]->".nextid")  
    } else={
       :error "Rule not found!"  
    }
}

Regards @colinardo
Share articleTeilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilen

Content-ID: 673086

Url: https://administrator.de/tutorial/mikrotik-scripting-using-the-place-before-parameter-to-place-fw-rule-after-other-rule-673086.html

Ausgedruckt am: 30.05.2025 um 01:05 Uhr

EnglischAnleitungMikroTik Entwicklung Firewall
Serie: Mikrotik Scripting
Mikrotik Scripting - Router-Log schnell nach Zeit filternMikrotik Scripting - Quickly filter Router-Log by datetime (englisch)Mikrotik Scripting - Parameter "place-before" nutzen um FW-Regeln "nach" anderen anzulegenMikrotik Scripting: Using the "place-before" parameter to place fw rule "after" other rule (englisch)Mikrotik Scripting: Resolve Domain to IPv6 Address (englisch)1Mikrotik Scripting: Domain zu IPv6 Adresse(n) auflösen1
Mehr von colinardocolinardoOpenSSH Server v10.0 - Mögliche Inkompatibilitäten mit Clients oder SSH-BibliothekencolinardocolinardoMikrotik Scripting - Router-Log schnell nach Zeit filterncolinardocolinardoMikrotik Scripting - Parameter "place-before" nutzen um FW-Regeln "nach" anderen anzulegencolinardocolinardoW11 24H2 Installationsmedien mit integrierten Okt. oder Nov. 24 Updates defektcolinardo - 9 Kommentare
Heiß diskutiert
wusa88Ubuntu verschiedene Internetzugänge mit Wireguard, WLAN funktioniert, LAN nichtwusa88 - 34 KommentarekreuzbergerEin Geist im PC, Selbsteinschaltungkreuzberger - 28 KommentaremariociscoProblem Cisco 926 4P VoiP SnomD713 SIP eingehen ausgehend keine Telefonie und Uhrzeit Problemmariocisco - 27 KommentarejensgebkenÜberwachung von Bootenjensgebken - 27 KommentareDjDomXAlternativen zu Windows-Terminal-Server (RDS Session-Hosts)?DjDomX - 25 KommentareriegelerI226-V kein DHCP möglich: Es kann keine Verbindung mit dem DHCP-Server hergestellt werdenriegeler - 21 KommentarebloodstixSkript für Prozessorzugehörigkeitbloodstix - 21 KommentareMIST10Schrank für LaptopsMIST10 - 19 KommentareDerWoWussteInteressanter Trick für Windows-NutzersupporterDerWoWusste - 19 KommentaremarkaurelWorkstation Neuinstallation Windows unter Beibehaltung Einstellungen und Datenmarkaurel - 19 KommentareSpirit-of-EliGelöschte KommentareSpirit-of-Eli - 18 KommentarewinackerSuche Tintenstrahler bzw. Multifunktionsdrucker für eher seltene Nutzungwinacker - 17 Kommentarec0mhexHilfe bei Wireguard Config Handy zum PCc0mhex - 16 Kommentare