Jump to content

MikroTik как создать адрес лист,и чтоб инет был только у тех кто в списке?


Recommended Posts

MikroTik. как создать адрес лист,и чтоб инет был только у тех кто в списке??????
Подскажите плиз последовательно, что нужно делать, ну очень нужно.
Людишки меняют мак и юзают :facepalm:

Link to post
Share on other sites

заходиш в ip-dhcp server-leases и привязываеш маки абонов к конкретным адресам - нажимаеш на каждом адресе make static поочереди, потом в ip-firwall-address list нажимаеш на + и создаеш  new firwall address list, вводиш,например, uHeT_ECTb и чуть ниже разрешенный адрес и нажимаеш ОК. Потом следующий адрес - копируеш предидущий кнопкой  copy и так добавляеш все адреса, на которых разрешен доступ к инету. После заходиш в ip-firwall-NAT находиш правило, через которое все заходят в инет и во вкладке advanced щёлкаеш на src.address list и там выбираеш uHeT_ECTb. Всё.

Link to post
Share on other sites

1. Это добавляем через консоль, или создаём аналогичное через WinBox в IP - Firewall - Filter:

/ip firewall filter add chain=forward action=accept in-interface="LAN" out-interface="WAN" src-address-list="ALLOW"
/ip firewall filter add chain=forward action=accept in-interface="WAN" out-interface="LAN" dst-address-list="ALLOW"

После этих правил добавляем это:

/ip firewall filter add chain=forward action=drop 

2. Этим через консоль добавляем в список, или, опять-же через WinBox на вкладке IP - Firewall - Address List:

/ip firewall address-list add address={IP_абонента} list="ALLOW"

P.S. значения 'in-interface', 'out-interface' устанавливаем в соответствии и именами у себя в MikroTik.

P.P.S. 'src-address-list', 'dst-address-list' должно соответствовать значению 'list' второго пункта.

 

Людишки меняют мак и юзают

Чтобы предотвратить это можно:

1. Добавить статические записи ARP (IP - ARP)

2. На пользовательском интерфейсе указать ARP: reply-only

В итоге, те, кто подменит IP не получит доступа к сети вообще..

Edited by jcomm
Link to post
Share on other sites

заходиш в ip-dhcp server-leases и привязываеш маки абонов к конкретным адресам - нажимаеш на каждом адресе make static поочереди, потом в ip-firwall-address list нажимаеш на + и создаеш  new firwall address list, вводиш,например, uHeT_ECTb и чуть ниже разрешенный адрес и нажимаеш ОК. Потом следующий адрес - копируеш предидущий кнопкой  copy и так добавляеш все адреса, на которых разрешен доступ к инету. После заходиш в ip-firwall-NAT находиш правило, через которое все заходят в инет и во вкладке advanced щёлкаеш на src.address list и там выбираеш uHeT_ECTb. Всё.

Всё так сделал не получается???????????

Link to post
Share on other sites

Чтобы разрешить только из списка chain=forward action=drop dst-address=192.168.1.0/24 src-address-list=!internet - этим правилом запрещаем всю под сеть, кроме тех ip которые находятся в адрес листе.

Link to post
Share on other sites

1. Это добавляем через консоль, или создаём аналогичное через WinBox в IP - Firewall - Filter:

/ip firewall filter add chain=forward action=accept in-interface="LAN" out-interface="WAN" src-address-list="ALLOW"
/ip firewall filter add chain=forward action=accept in-interface="WAN" out-interface="LAN" dst-address-list="ALLOW"

После этих правил добавляем это:

/ip firewall filter add chain=forward action=drop 

2. Этим через консоль добавляем в список, или, опять-же через WinBox на вкладке IP - Firewall - Address List:

/ip firewall address-list add address={IP_абонента} list="ALLOW"

P.S. значения 'in-interface', 'out-interface' устанавливаем в соответствии и именами у себя в MikroTik.

P.P.S. 'src-address-list', 'dst-address-list' должно соответствовать значению 'list' второго пункта.

 

Людишки меняют мак и юзают

Чтобы предотвратить это можно:

1. Добавить статические записи ARP (IP - ARP)

2. На пользовательском интерфейсе указать ARP: reply-only

В итоге, те, кто подменит IP не получит доступа к сети вообще..

Немоглиб пошагово написать как сделать через WinBox

Link to post
Share on other sites

Заходите в WInBox. Жмете New Terminal и копипаст

А я лист обозвал по другому??? или алов это не то??????

Link to post
Share on other sites

1. Это добавляем через консоль, или создаём аналогичное через WinBox в IP - Firewall - Filter:

/ip firewall filter add chain=forward action=accept in-interface="LAN" out-interface="WAN" src-address-list="ALLOW"
/ip firewall filter add chain=forward action=accept in-interface="WAN" out-interface="LAN" dst-address-list="ALLOW"

После этих правил добавляем это:

/ip firewall filter add chain=forward action=drop 

2. Этим через консоль добавляем в список, или, опять-же через WinBox на вкладке IP - Firewall - Address List:

/ip firewall address-list add address={IP_абонента} list="ALLOW"

P.S. значения 'in-interface', 'out-interface' устанавливаем в соответствии и именами у себя в MikroTik.

P.P.S. 'src-address-list', 'dst-address-list' должно соответствовать значению 'list' второго пункта.

 

Людишки меняют мак и юзают

Чтобы предотвратить это можно:

1. Добавить статические записи ARP (IP - ARP)

2. На пользовательском интерфейсе указать ARP: reply-only

В итоге, те, кто подменит IP не получит доступа к сети вообще..

post-22265-0-23935700-1374587867_thumb.png

Link to post
Share on other sites

 

 

:facepalm:  Слов нет ....

всмысле???

 

Если у вас трудности с консольным синтаксисом , лучше делайте мышью в винбоксе. Так будет хотя бы понятно вам самому, что-откуда-куда ...

 

Так если не трудно подскажите!!!!

Link to post
Share on other sites

Так а что подсказать?  Вы ж настроили через винбокс устройство, и оно работает. А здесь в чем отличие?

Жмете IP, жмете Firewall, жмете + (создать новое правило), вывалится окошко, в котором расставляете действия, указанные в правилах, что вам выше привели (там те же термины). И т.д.

Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
  • Recently Browsing   0 members

    No registered users viewing this page.

  • Similar Content

    • By viktorrc17
      Є мікротік з білим ip 37.57.хх.хх Налаштований nat. Srcnat- masquerade
      Lan 192.168.0.1
      До нього підключено другий мікротік по dhcp 192.168.0.2 
      Налаштований nat. Srcnat- masquerade
      Lan 192.168.1.1
      До другого роутера підключено nanostation з адресою 192.168.1.5
      На першому мікротік прокинув порт на другій мікротік. ( Chain-dstnat.  Protocol-  tcp. Dst port 726.  Action - dst-nat. To adress 192.168.0.2  To ports 80)
      Доступ на другий мікротік по білому ір є. 
      Треба зробити доступ на nanostation з білого ір.
      Підкажіть, прописував по аналогії з першим мікротіком на 192.168.1.5. Нічого не вийшло
       
    • By defence_k
      Військовій частині ЗСУ дуже потрібні старенькі MikroTik RB751U(G)-2HnD або аналогічні. Наявність блока живлення та стан корпуса байдуже, живитися будуть по РоЕ. RB951 теж годяться, проте в них гірший радіотракт . 
      Будемо вдячні за кожен пристрій.
      PS не відмовимося від фахової консультації з побудови CAPsMAN
    • By Drader
      Продам маршрутизатор (роутер) Microtik CCR1036-8G-2S+



    • By valexa
      Всех преветствую. Куплю, возможно какой то аналог микротик, предлогайте рассмотрю все варианты. Всем мира.
    • By x-net
      Продам вживаний Mikrotik CRS326-24S+2Q+ : 24 порти 10Г, 2 порти 40Г, 2 блоки живлення. Прошу 15 тис.
×
×
  • Create New...