Jump to content

Mikrotik запрет доступа в интернет.

ur3alex

By ur3alex,
in SOHO routers. DSL, Wi-Fi, Ethernet

 Share Followers 4

Recommended Posts

ur3alex

ur3alex 42

Posted
Posted

Было все нормально и работало пока не понадобились порты на л3. Было из 2,3,4 и 5 поры были подключены абоненты по LAN, ARP таблица и DHCP в статике и  по портам стояло reply-arp если абонента не было в статике то инет он неполучал. Сделал что на один порт микротика выходит 4 VLANa все подправил вес работает только если ставишь в интерфейсе в VLANе reply-arp интернет пропадает у всех и микротик обрывает связь , потом в него что бы попасть только по маку включаешь и все работает. Пробовал через нат интернет только из списка, да работает вроде запрещает интернет но семерка показывает что интернет есть скайп работает и торент качает, а с браузера инета нет и сайты не пингуются.  Ограничение в шейпере 1к мне не нравится.

Как что можно придумать подскажите чтобы через VLANы можно было ограничивать доступ в инет.

Link to post
Share on other sites
DemonidZe

DemonidZe 15

Posted
Posted

а зачем вам reply-arp? фаирволом пользоваться умеете , создайте правило nat в котором разрешите маскарадить только IP из адрес листа  , в адрес лист записываете руками или в dhcp-server - leases у каждого хоста есть такое поле adress-list выбираете нужный когда присваивается ip он автоматом добавляет ip  в адрес лист.

Link to post
Share on other sites
ur3alex

ur3alex 42

Posted
  • Author
Posted

 

 

Пробовал через нат интернет только из списка, да работает вроде запрещает интернет но семерка показывает что интернет есть скайп работает и торент качает, а с браузера инета нет и сайты не пингуются. 

Я делал в правиле нат ставил что интернет только из списка, в результате скайп если был загружен светится зеленым сайты не пингуются и не пускает на  сайты, а торент качает если качал вовсю ивановскую, такое ощущение что блокируется только 80 порт. Но если выключаешь, а потом клиент включает комп, то все интернета нет, только винда семерка показывает что есть доступ в интернет

Link to post
Share on other sites
ur3alex

ur3alex 42

Posted
  • Author
Posted

Вовобщем сейчас проверил если компьютер вкючен и на микротике нажитаешь выключить правило то все остается работать кроме браузеров сайты не пингуются и не открываются а торен качает и скайп работает звонит. Стоит только перезагрузить комп или чтобы прошел перезапрос дшспи то все блокируется.

Link to post
Share on other sites
jcomm

jcomm 6

Posted
Posted (edited)

А почему бы, как белые люди, не использовать firewall для ограничения доступа к интернету?  ;)

Если решитесь - расскажу как...

Edited by jcomm
Link to post
Share on other sites
ur3alex

ur3alex 42

Posted
  • Author
Posted

Расскажите, я делаю так: заношу айпишники в адрес лист, во вкладке нат в правиле указываю что из адрес лист. Вы так хотите рассказать.

Link to post
Share on other sites
jcomm

jcomm 6

Posted
Posted (edited)

нет, смотрите, эти правила добавляйте через консоль MikroTik:

/ip firewall filter add chain=forward action=accept in-interface="LAN" out-interface="WAN" src-address-list="ALLOW"
/ip firewall filter add chain=forward action=accept in-interface="WAN" out-interface="LAN" dst-address-list="ALLOW"
/ip firewall filter add chain=forward action=drop comment="DROP FORWARD"

Описание: 

Первое правило разрешает хождение пакетов от интерфейса "LAN" к интерфейсу "WAN" пользователям из списка "ALLOW".

Второе в обратном направлении с интерфейса "WAN" к интерфейсу "LAN", опять-же пользователям из списка "ALLOW".

Третье правило запрещает прохождение любых пакетов через MikroTik.

 

Пакет, проходя через MikroTik, будет последовательно проходить через все эти правила сверху вниз до тех пор, пока не попадёт под нужный фильтр (правило), после чего над ним будет совершено действие, указанное параметром "action" например: проходящий пакет (chain=forward) от пользователя из списка ALLOW (src-address-list="ALLOW") от интерфейса LAN (in-interface="LAN") к интерфейсу WAN (out-interface="WAN") попадёт под первое правило и будет разрешен (action=accept). Если пакет будет идти от пользователя НЕ из списка ALLOW, то он НЕ попадёт в первые два правила, а попадёт под третье, а все пакеты попадающие под третье правило будут сбрасываться (action=drop).

 

Как уже стало ясно, что добавляя/удаляя записи из списка ALLOW можно разрешать и запрещать соответственно доступ к интернету..

 

P.S. Имена интерфейсов и списка нужно переименовать под свою реальность, правила должны быть строго в той последовательности, как указано выше!..

Edited by jcomm
Link to post
Share on other sites
ur3alex

ur3alex 42

Posted
  • Author
Posted (edited)

хорошо попрбую интерфейсы я уже переименовал но у меня все клиенты по Vlanу подключены через один порт. 4 dhcp b 4 vlanа на одном поту мне в правилах указывать в ланы.

Edited by ur3abt
Link to post
Share on other sites
jcomm

jcomm 6

Posted
Posted (edited)

можете LAN интерфейс не указывать или указать "НЕ WAN", вот так, например:

/ip firewall filter add chain=forward action=accept in-interface="!WAN" out-interface="WAN" src-address-list="ALLOW"
/ip firewall filter add chain=forward action=accept in-interface="WAN" out-interface="!WAN" dst-address-list="ALLOW"
/ip firewall filter add chain=forward action=drop comment="DROP FORWARD"

а много ли трафика гоняется через MikroTik, сколько людей?

Edited by jcomm
Link to post
Share on other sites
ur3alex

ur3alex 42

Posted
  • Author
Posted

дак у меня вланами на пользователей идет в правилах указывать что влан у меня их четыре и правил писать 4 штуки. 

Link to post
Share on other sites
jcomm

jcomm 6

Posted
Posted (edited)

нет, добавляйте правила без указания пользовательского интерфейса:

/ip firewall filter add chain=forward action=accept out-interface="WAN" src-address-list="ALLOW"
/ip firewall filter add chain=forward action=accept in-interface="WAN" dst-address-list="ALLOW"
/ip firewall filter add chain=forward action=drop comment="DROP FORWARD"
Edited by jcomm
Link to post
Share on other sites
ur3alex

ur3alex 42

Posted
  • Author
Posted

Через вин бокс в ручную написал эти три правила и поставил их самыми первыми трейтим дроп правило запрещающее в адрес листе выключил юзера и все окей работает только винда 7 все равно покаывает доступ в инет но инета нет. Спасибо.

Link to post
Share on other sites
ur3alex

ur3alex 42

Posted
  • Author
Posted (edited)

Еще теперь я внутри сетки на базы вайфай попасть не могу пока не выключу правила в фаерволе что для этого нужно? Если я в этой сети то захожу а если в другой то зайти не получается.

Edited by ur3abt
Link to post
Share on other sites
jcomm

jcomm 6

Posted
Posted

разрешите хождение от вашего ip адреса к адресу управляемого устройства... и наоборот..

например добавьте все устройства, которыми управляете в список MANAGEMENT и по аналогии с вышеуказанными правилами создайте 2 правила:

forward src-address=<ваш ip> dst-addtess-list=MANAGEMENT
forward src-address-list=MANAGEMENT dst-addtess=<ваш ip>

 их тоже разместите выше правила drop forward

Link to post
Share on other sites
jcomm

jcomm 6

Posted
Posted

создать еще один список из устройств, с которых возможно управление:

forward src-address-list=ADMINS dst-addtess-list=MANAGEMENT
forward src-address-list=MANAGEMENT dst-addtess-list=ADMINS
 
если в сети много устройств, которыми надо управлять можно поднять management vlan с отдельной подсетью, в которую будут входить все устройства и ы получаете доступ к ним всем подключаясь к этой подсети, хоть по vpn, хоть берите и management vlan растегируйте у себя на порту...
Link to post
Share on other sites
ur3alex

ur3alex 42

Posted
  • Author
Posted

ок все разобрался я пробовал неуказывать айпи скоего копа оставлял пустым то все работает. Спасибо за помощь.

Link to post
Share on other sites
  • 4 weeks later...
Max1m

Max1m 0

Posted
Posted (edited)

Ребят помогите пожалуйста!!!! Необходимо на микротике 750 выставить правила в файрволе такие чтобы было всё заблокированно по адресс листам которые показывают локальные ипы, но! кроме почты от яндекса, гугла, мэйла.

 

Создал адресс лист, выставил дроп в фильтре. Дропает всё подрят... теперь вот не вдуплю как мне сделать так чтобы машина понимала что, нужно пропустить только на почту к примеру яндекса... а так как ипы с поисковиком одинаковые, пусть пускает даже и на поисковик... даже пусть ищет... только при переходе естесно будет дроп, так как правило блочит на всё же... ну в общем надеюсь поймёте меня, директору нашему приспичело поставить блокировку везде кроме почты. СПАСИБО ОГРОМНОЕ ЗАРАНЕЕ!!! 

 

 

Только просьба если будете отвечать на данное сообщение, просьба по подробнее.
 

Edited by Max1m
Link to post
Share on other sites
dandul

dandul 44

Posted
Posted

А почему бы, как белые люди, не использовать firewall для ограничения доступа к интернету?  ;)

Если решитесь - расскажу как...

Интересно чисто для себя, для справки. А что не так с reply-arp.

Link to post
Share on other sites
jcomm

jcomm 6

Posted
Posted (edited)

 

 

Интересно чисто для себя, для справки. А что не так с reply-arp.

Ну, я еще не видел людей, которые с помощью ARP=reply-only ограничивали доступ в Интернет...

Edited by jcomm
Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
 Share
Followers 4
Go to topic listing
×
×
  • Create New...