Перейти до

Mikrotik запрет доступа в интернет.


Рекомендованные сообщения

Было все нормально и работало пока не понадобились порты на л3. Было из 2,3,4 и 5 поры были подключены абоненты по LAN, ARP таблица и DHCP в статике и  по портам стояло reply-arp если абонента не было в статике то инет он неполучал. Сделал что на один порт микротика выходит 4 VLANa все подправил вес работает только если ставишь в интерфейсе в VLANе reply-arp интернет пропадает у всех и микротик обрывает связь , потом в него что бы попасть только по маку включаешь и все работает. Пробовал через нат интернет только из списка, да работает вроде запрещает интернет но семерка показывает что интернет есть скайп работает и торент качает, а с браузера инета нет и сайты не пингуются.  Ограничение в шейпере 1к мне не нравится.

Как что можно придумать подскажите чтобы через VLANы можно было ограничивать доступ в инет.

Ссылка на сообщение
Поделиться на других сайтах

а зачем вам reply-arp? фаирволом пользоваться умеете , создайте правило nat в котором разрешите маскарадить только IP из адрес листа  , в адрес лист записываете руками или в dhcp-server - leases у каждого хоста есть такое поле adress-list выбираете нужный когда присваивается ip он автоматом добавляет ip  в адрес лист.

Ссылка на сообщение
Поделиться на других сайтах

 

 

Пробовал через нат интернет только из списка, да работает вроде запрещает интернет но семерка показывает что интернет есть скайп работает и торент качает, а с браузера инета нет и сайты не пингуются. 

Я делал в правиле нат ставил что интернет только из списка, в результате скайп если был загружен светится зеленым сайты не пингуются и не пускает на  сайты, а торент качает если качал вовсю ивановскую, такое ощущение что блокируется только 80 порт. Но если выключаешь, а потом клиент включает комп, то все интернета нет, только винда семерка показывает что есть доступ в интернет

Ссылка на сообщение
Поделиться на других сайтах

Вовобщем сейчас проверил если компьютер вкючен и на микротике нажитаешь выключить правило то все остается работать кроме браузеров сайты не пингуются и не открываются а торен качает и скайп работает звонит. Стоит только перезагрузить комп или чтобы прошел перезапрос дшспи то все блокируется.

Ссылка на сообщение
Поделиться на других сайтах

А почему бы, как белые люди, не использовать firewall для ограничения доступа к интернету?  ;)

Если решитесь - расскажу как...

Відредаговано jcomm
Ссылка на сообщение
Поделиться на других сайтах

Расскажите, я делаю так: заношу айпишники в адрес лист, во вкладке нат в правиле указываю что из адрес лист. Вы так хотите рассказать.

Ссылка на сообщение
Поделиться на других сайтах

нет, смотрите, эти правила добавляйте через консоль MikroTik:

/ip firewall filter add chain=forward action=accept in-interface="LAN" out-interface="WAN" src-address-list="ALLOW"
/ip firewall filter add chain=forward action=accept in-interface="WAN" out-interface="LAN" dst-address-list="ALLOW"
/ip firewall filter add chain=forward action=drop comment="DROP FORWARD"

Описание: 

Первое правило разрешает хождение пакетов от интерфейса "LAN" к интерфейсу "WAN" пользователям из списка "ALLOW".

Второе в обратном направлении с интерфейса "WAN" к интерфейсу "LAN", опять-же пользователям из списка "ALLOW".

Третье правило запрещает прохождение любых пакетов через MikroTik.

 

Пакет, проходя через MikroTik, будет последовательно проходить через все эти правила сверху вниз до тех пор, пока не попадёт под нужный фильтр (правило), после чего над ним будет совершено действие, указанное параметром "action" например: проходящий пакет (chain=forward) от пользователя из списка ALLOW (src-address-list="ALLOW") от интерфейса LAN (in-interface="LAN") к интерфейсу WAN (out-interface="WAN") попадёт под первое правило и будет разрешен (action=accept). Если пакет будет идти от пользователя НЕ из списка ALLOW, то он НЕ попадёт в первые два правила, а попадёт под третье, а все пакеты попадающие под третье правило будут сбрасываться (action=drop).

 

Как уже стало ясно, что добавляя/удаляя записи из списка ALLOW можно разрешать и запрещать соответственно доступ к интернету..

 

P.S. Имена интерфейсов и списка нужно переименовать под свою реальность, правила должны быть строго в той последовательности, как указано выше!..

Відредаговано jcomm
Ссылка на сообщение
Поделиться на других сайтах
Опубліковано: (відредаговано)

хорошо попрбую интерфейсы я уже переименовал но у меня все клиенты по Vlanу подключены через один порт. 4 dhcp b 4 vlanа на одном поту мне в правилах указывать в ланы.

Відредаговано ur3abt
Ссылка на сообщение
Поделиться на других сайтах

можете LAN интерфейс не указывать или указать "НЕ WAN", вот так, например:

/ip firewall filter add chain=forward action=accept in-interface="!WAN" out-interface="WAN" src-address-list="ALLOW"
/ip firewall filter add chain=forward action=accept in-interface="WAN" out-interface="!WAN" dst-address-list="ALLOW"
/ip firewall filter add chain=forward action=drop comment="DROP FORWARD"

а много ли трафика гоняется через MikroTik, сколько людей?

Відредаговано jcomm
Ссылка на сообщение
Поделиться на других сайтах

дак у меня вланами на пользователей идет в правилах указывать что влан у меня их четыре и правил писать 4 штуки. 

Ссылка на сообщение
Поделиться на других сайтах

нет, добавляйте правила без указания пользовательского интерфейса:

/ip firewall filter add chain=forward action=accept out-interface="WAN" src-address-list="ALLOW"
/ip firewall filter add chain=forward action=accept in-interface="WAN" dst-address-list="ALLOW"
/ip firewall filter add chain=forward action=drop comment="DROP FORWARD"
Відредаговано jcomm
Ссылка на сообщение
Поделиться на других сайтах

Через вин бокс в ручную написал эти три правила и поставил их самыми первыми трейтим дроп правило запрещающее в адрес листе выключил юзера и все окей работает только винда 7 все равно покаывает доступ в инет но инета нет. Спасибо.

Ссылка на сообщение
Поделиться на других сайтах
Опубліковано: (відредаговано)

Еще теперь я внутри сетки на базы вайфай попасть не могу пока не выключу правила в фаерволе что для этого нужно? Если я в этой сети то захожу а если в другой то зайти не получается.

Відредаговано ur3abt
Ссылка на сообщение
Поделиться на других сайтах

разрешите хождение от вашего ip адреса к адресу управляемого устройства... и наоборот..

например добавьте все устройства, которыми управляете в список MANAGEMENT и по аналогии с вышеуказанными правилами создайте 2 правила:

forward src-address=<ваш ip> dst-addtess-list=MANAGEMENT
forward src-address-list=MANAGEMENT dst-addtess=<ваш ip>

 их тоже разместите выше правила drop forward

Ссылка на сообщение
Поделиться на других сайтах

создать еще один список из устройств, с которых возможно управление:

forward src-address-list=ADMINS dst-addtess-list=MANAGEMENT
forward src-address-list=MANAGEMENT dst-addtess-list=ADMINS
 
если в сети много устройств, которыми надо управлять можно поднять management vlan с отдельной подсетью, в которую будут входить все устройства и ы получаете доступ к ним всем подключаясь к этой подсети, хоть по vpn, хоть берите и management vlan растегируйте у себя на порту...
Ссылка на сообщение
Поделиться на других сайтах

ок все разобрался я пробовал неуказывать айпи скоего копа оставлял пустым то все работает. Спасибо за помощь.

Ссылка на сообщение
Поделиться на других сайтах
  • 4 weeks later...

Ребят помогите пожалуйста!!!! Необходимо на микротике 750 выставить правила в файрволе такие чтобы было всё заблокированно по адресс листам которые показывают локальные ипы, но! кроме почты от яндекса, гугла, мэйла.

 

Создал адресс лист, выставил дроп в фильтре. Дропает всё подрят... теперь вот не вдуплю как мне сделать так чтобы машина понимала что, нужно пропустить только на почту к примеру яндекса... а так как ипы с поисковиком одинаковые, пусть пускает даже и на поисковик... даже пусть ищет... только при переходе естесно будет дроп, так как правило блочит на всё же... ну в общем надеюсь поймёте меня, директору нашему приспичело поставить блокировку везде кроме почты. СПАСИБО ОГРОМНОЕ ЗАРАНЕЕ!!! 

 

 

Только просьба если будете отвечать на данное сообщение, просьба по подробнее.
 

Відредаговано Max1m
Ссылка на сообщение
Поделиться на других сайтах

А почему бы, как белые люди, не использовать firewall для ограничения доступа к интернету?  ;)

Если решитесь - расскажу как...

Интересно чисто для себя, для справки. А что не так с reply-arp.

Ссылка на сообщение
Поделиться на других сайтах

 

 

Интересно чисто для себя, для справки. А что не так с reply-arp.

Ну, я еще не видел людей, которые с помощью ARP=reply-only ограничивали доступ в Интернет...

Відредаговано jcomm
Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Вхід

Уже зарегистрированы? Войдите здесь.

Войти сейчас
  • Зараз на сторінці   0 користувачів

    Немає користувачів, що переглядають цю сторінку.

  • Схожий контент

    • Від Туйон
      Отличие от обычной SXT5 - гигабитный порт и лицензия 4 уровня (может быть не только бриджом а и точкой доступа).
      Старенькая, АС-стандарт не поддерживает.
      В своё время мегабит 160+ вроде качала.
      Где-то возможно в том же гараже есть вторая такая же, если надо - могу поискать.
      Внешнее состояние нормальное. Чуть пожелтела но трещин и т д нету.
      В комплекте сама точка и хвостик крепления (вставлятся в саму антенну).
      РОЕ где-то в работе до сих пор, но подойдут любые.
      Цена.. пусть для начала будет 1000 грн.
      Проверена в комнате "на коленке", дам время на полноценную поверку, а то мало ли (года два лежала отдыхала).
      Желающие пишите в ЛС.
       
      https://www.technotrade.com.ua/Products/MikroTik_SXT_G_5HnD.php
    • Від independent
      Mikrotik rb4011igs+5hacq-2hnd-in
      Б/в.
      Ціна 5075 грн
       
      https://www.olx.ua/d/uk/obyavlenie/mikrotik-rb4011igs-5hacq2hnd-in-IDWH6Lo.html
    • Від independent
      Mikrotik rb4011igs+5hacq-2hnd-in б/в.
      Продається в результаті великого енергоспоживання від дбж.
       
      Ціна 6100 грн
       
      https://www.olx.ua/d/uk/obyavlenie/mikrotik-rb4011igs-5hacq2hnd-in-IDWH6Lo.html
    • Від Axel K
      Вітаю!
       
      налаштування capsman
      /caps-man channel add band=2ghz-b/g/n extension-channel=disabled frequency=2412,2437,2462 name=channel1 add band=5ghz-a/n/ac extension-channel=disabled frequency=5180 name=channel5 skip-dfs-channels=yes tx-power=40 /caps-man datapath add bridge=Main client-to-client-forwarding=yes local-forwarding=no name=datapath1 /caps-man configuration add channel=channel1 datapath=datapath1 max-sta-count=20 mode=ap name=cfg1 rx-chains=0,1,2,3 ssid=25 tx-chains=0,1,2,3 add channel=channel5 datapath=datapath1 hide-ssid=no mode=ap name=cfg5 rx-chains=0,1,2,3 ssid=25 tx-chains=0,1,2,3 /caps-man access-list add action=reject allow-signal-out-of-range=10s disabled=no signal-range=-120..-85 ssid-regexp="" /caps-man manager set enabled=yes /caps-man provisioning add action=create-dynamic-enabled hw-supported-modes=ac master-configuration=cfg5 name-format=prefix-identity add action=create-dynamic-enabled hw-supported-modes=gn master-configuration=cfg1 name-format=prefix-identity проблема у низькій швидкості у клієнта
      якщо включити local-forwarding=yes, клієнт підключається, але не отримує ір.
       
      розумію, що на bdcom не вистачає налаштувань, прошу допомоги.
    • Від viktorrc17
      Підкажіть. Така ситуація.
      Роутер Mikrotik працює від ups.
      Провайдер Київстар.
      При відключенні ел енергії, інтернет працює поки не здохнуть акуми на якомусь з вузлів у провайдера.
      Після включення ел.енергіії, інтернет не працює, допомагає перезавантаження роутера, або оновлення ip адреси.
      Що можна з цим зробити?
×
×
  • Створити нове...