Mikrotik запрет доступа в интернет.

[ur3alex 42]

Было все нормально и работало пока не понадобились порты на л3. Было из 2,3,4 и 5 поры были подключены абоненты по LAN, ARP таблица и DHCP в статике и  по портам стояло reply-arp если абонента не было в статике то инет он неполучал. Сделал что на один порт микротика выходит 4 VLANa все подправил вес работает только если ставишь в интерфейсе в VLANе reply-arp интернет пропадает у всех и микротик обрывает связь , потом в него что бы попасть только по маку включаешь и все работает. Пробовал через нат интернет только из списка, да работает вроде запрещает интернет но семерка показывает что интернет есть скайп работает и торент качает, а с браузера инета нет и сайты не пингуются.  Ограничение в шейпере 1к мне не нравится.

Как что можно придумать подскажите чтобы через VLANы можно было ограничивать доступ в инет.

[nevidomuj 33]

Яка версія ROS? Яке "залізо"?

[DemonidZe 15]

а зачем вам reply-arp? фаирволом пользоваться умеете , создайте правило nat в котором разрешите маскарадить только IP из адрес листа  , в адрес лист записываете руками или в dhcp-server - leases у каждого хоста есть такое поле adress-list выбираете нужный когда присваивается ip он автоматом добавляет ip  в адрес лист.

[ur3alex 42]

 

 

Пробовал через нат интернет только из списка, да работает вроде запрещает интернет но семерка показывает что интернет есть скайп работает и торент качает, а с браузера инета нет и сайты не пингуются. 

Я делал в правиле нат ставил что интернет только из списка, в результате скайп если был загружен светится зеленым сайты не пингуются и не пускает на  сайты, а торент качает если качал вовсю ивановскую, такое ощущение что блокируется только 80 порт. Но если выключаешь, а потом клиент включает комп, то все интернета нет, только винда семерка показывает что есть доступ в интернет

[ur3alex 42]

Вовобщем сейчас проверил если компьютер вкючен и на микротике нажитаешь выключить правило то все остается работать кроме браузеров сайты не пингуются и не открываются а торен качает и скайп работает звонит. Стоит только перезагрузить комп или чтобы прошел перезапрос дшспи то все блокируется.

[jcomm 6]

А почему бы, как белые люди, не использовать firewall для ограничения доступа к интернету? 

Если решитесь - расскажу как...

Відредаговано 2013-07-08 19:32:01 jcomm

[ur3alex 42]

Расскажите, я делаю так: заношу айпишники в адрес лист, во вкладке нат в правиле указываю что из адрес лист. Вы так хотите рассказать.

[jcomm 6]

нет, смотрите, эти правила добавляйте через консоль MikroTik:

/ip firewall filter add chain=forward action=accept in-interface="LAN" out-interface="WAN" src-address-list="ALLOW"
/ip firewall filter add chain=forward action=accept in-interface="WAN" out-interface="LAN" dst-address-list="ALLOW"
/ip firewall filter add chain=forward action=drop comment="DROP FORWARD"

Описание: 

Первое правило разрешает хождение пакетов от интерфейса "LAN" к интерфейсу "WAN" пользователям из списка "ALLOW".

Второе в обратном направлении с интерфейса "WAN" к интерфейсу "LAN", опять-же пользователям из списка "ALLOW".

Третье правило запрещает прохождение любых пакетов через MikroTik.

 

Пакет, проходя через MikroTik, будет последовательно проходить через все эти правила сверху вниз до тех пор, пока не попадёт под нужный фильтр (правило), после чего над ним будет совершено действие, указанное параметром "action" например: проходящий пакет (chain=forward) от пользователя из списка ALLOW (src-address-list="ALLOW") от интерфейса LAN (in-interface="LAN") к интерфейсу WAN (out-interface="WAN") попадёт под первое правило и будет разрешен (action=accept). Если пакет будет идти от пользователя НЕ из списка ALLOW, то он НЕ попадёт в первые два правила, а попадёт под третье, а все пакеты попадающие под третье правило будут сбрасываться (action=drop).

 

Как уже стало ясно, что добавляя/удаляя записи из списка ALLOW можно разрешать и запрещать соответственно доступ к интернету..

 

P.S. Имена интерфейсов и списка нужно переименовать под свою реальность, правила должны быть строго в той последовательности, как указано выше!..

Відредаговано 2013-07-09 10:00:47 jcomm

[ur3alex 42]

хорошо попрбую интерфейсы я уже переименовал но у меня все клиенты по Vlanу подключены через один порт. 4 dhcp b 4 vlanа на одном поту мне в правилах указывать в ланы.

Відредаговано 2013-07-09 10:08:47 ur3abt

[jcomm 6]

можете LAN интерфейс не указывать или указать "НЕ WAN", вот так, например:

/ip firewall filter add chain=forward action=accept in-interface="!WAN" out-interface="WAN" src-address-list="ALLOW"
/ip firewall filter add chain=forward action=accept in-interface="WAN" out-interface="!WAN" dst-address-list="ALLOW"
/ip firewall filter add chain=forward action=drop comment="DROP FORWARD"

а много ли трафика гоняется через MikroTik, сколько людей?

Відредаговано 2013-07-09 10:16:41 jcomm

[ur3alex 42]

дак у меня вланами на пользователей идет в правилах указывать что влан у меня их четыре и правил писать 4 штуки. 

[jcomm 6]

нет, добавляйте правила без указания пользовательского интерфейса:

/ip firewall filter add chain=forward action=accept out-interface="WAN" src-address-list="ALLOW"
/ip firewall filter add chain=forward action=accept in-interface="WAN" dst-address-list="ALLOW"
/ip firewall filter add chain=forward action=drop comment="DROP FORWARD"

Відредаговано 2013-07-09 10:22:34 jcomm

[ur3alex 42]

Через вин бокс в ручную написал эти три правила и поставил их самыми первыми трейтим дроп правило запрещающее в адрес листе выключил юзера и все окей работает только винда 7 все равно покаывает доступ в инет но инета нет. Спасибо.

[jcomm 6]

Внезапно...  

 

Пожалуйста)

Відредаговано 2013-07-09 10:38:32 jcomm

[ur3alex 42]

Еще теперь я внутри сетки на базы вайфай попасть не могу пока не выключу правила в фаерволе что для этого нужно? Если я в этой сети то захожу а если в другой то зайти не получается.

Відредаговано 2013-07-09 11:09:43 ur3abt

[jcomm 6]

Теперь вам нужно создавать правила разрешающие прохождение пакетов к базовым станциям.  

[ur3alex 42]

Угу а какие правила это правила внутрисеточные и меж влановые?

[jcomm 6]

разрешите хождение от вашего ip адреса к адресу управляемого устройства... и наоборот..

например добавьте все устройства, которыми управляете в список MANAGEMENT и по аналогии с вышеуказанными правилами создайте 2 правила:

forward src-address=<ваш ip> dst-addtess-list=MANAGEMENT

forward src-address-list=MANAGEMENT dst-addtess=<ваш ip>

 их тоже разместите выше правила drop forward

[ur3alex 42]

а если нужно с нескольких адресов заходить на базовые станции что писать кучу правил?

[jcomm 6]

создать еще один список из устройств, с которых возможно управление:

forward src-address-list=ADMINS dst-addtess-list=MANAGEMENT

forward src-address-list=MANAGEMENT dst-addtess-list=ADMINS

 

если в сети много устройств, которыми надо управлять можно поднять management vlan с отдельной подсетью, в которую будут входить все устройства и ы получаете доступ к ним всем подключаясь к этой подсети, хоть по vpn, хоть берите и management vlan растегируйте у себя на порту...

[ur3alex 42]

ок все разобрался я пробовал неуказывать айпи скоего копа оставлял пустым то все работает. Спасибо за помощь.

[Max1m 0]

Ребят помогите пожалуйста!!!! Необходимо на микротике 750 выставить правила в файрволе такие чтобы было всё заблокированно по адресс листам которые показывают локальные ипы, но! кроме почты от яндекса, гугла, мэйла.

 

Создал адресс лист, выставил дроп в фильтре. Дропает всё подрят... теперь вот не вдуплю как мне сделать так чтобы машина понимала что, нужно пропустить только на почту к примеру яндекса... а так как ипы с поисковиком одинаковые, пусть пускает даже и на поисковик... даже пусть ищет... только при переходе естесно будет дроп, так как правило блочит на всё же... ну в общем надеюсь поймёте меня, директору нашему приспичело поставить блокировку везде кроме почты. СПАСИБО ОГРОМНОЕ ЗАРАНЕЕ!!! 

 

 

Только просьба если будете отвечать на данное сообщение, просьба по подробнее.
 

Відредаговано 2013-08-07 19:47:07 Max1m

[dandul 42]

А почему бы, как белые люди, не использовать firewall для ограничения доступа к интернету? 

Если решитесь - расскажу как...

Интересно чисто для себя, для справки. А что не так с reply-arp.

[jcomm 6]

 

 

Интересно чисто для себя, для справки. А что не так с reply-arp.

Ну, я еще не видел людей, которые с помощью ARP=reply-only ограничивали доступ в Интернет...

Відредаговано 2013-08-08 09:40:34 jcomm

[dandul 42]

а чем то плох способ?