Перейти до

разрешенные порты в микротик


Рекомендованные сообщения

Добрый день, поджскажите пожалуйста как одному клиенту который получил автоматический ип (привязка по мак) запретить использовать все порты кроме 80 и 443 ?

Ссылка на сообщение
Поделиться на других сайтах

Добрый день, поджскажите пожалуйста как одному клиенту который получил автоматический ип (привязка по мак) запретить использовать все порты кроме 80 и 443 ?

можу допомогти

Ссылка на сообщение
Поделиться на других сайтах

Будьте добры подскажите правильно ли я сделал, создал для правила в фаерволе:

add action=drop chain=forward comment="only 80/443" dst-port=!80,443 protocol=\
    tcp src-address=192.168.88.105

add action=drop chain=forward comment="only 80/443 dns" dst-port=!53 protocol=\
    udp src-address=192.168.88.105

для ип 192.168.88.105 должны работать только 80 и 443 порты

Ссылка на сообщение
Поделиться на других сайтах

Будьте добры подскажите правильно ли я сделал, создал для правила в фаерволе:

add action=drop chain=forward comment="only 80/443" dst-port=!80,443 protocol=\
    tcp src-address=192.168.88.105

add action=drop chain=forward comment="only 80/443 dns" dst-port=!53 protocol=\
    udp src-address=192.168.88.105

для ип 192.168.88.105 должны работать только 80 и 443 порты

Можно и так. Правельно.

Ссылка на сообщение
Поделиться на других сайтах

add action=drop chain=forward comment="only 80/443" dst-port=!80,443 protocol=\
tcp 
src-mac-address=00:00:00:32:00:00

add action=drop chain=forward comment="dns" dst-port=!53 protocol=\
udp 
src-mac-address=00:00:00:32:00:00

 

Где src-mac-address=00:00:00:32:00:00 мак блокируемого клиента :)

Ссылка на сообщение
Поделиться на других сайтах

краще блокувати все інтернет по mac адресу.а потім дозволити тільки ці 3 порти по mac

Зачем плодить кучу правил ?

Если в дальнейшем у ТС возникнет надобность блочить не одного, а к примеру 10 клиентов. Можно конечно модифицировать под список это будет так :

add action=drop chain=forward comment="only 80/443" dst-port=!80,443 protocol=\

tcp src-address-list=Clients_1

add action=drop chain=forward comment="dns" dst-port=!53 protocol=\

udp src-address-list=Clients_1 

Ссылка на сообщение
Поделиться на других сайтах

Добрый день, поджскажите пожалуйста как одному клиенту который получил автоматический ип (привязка по мак) запретить использовать все порты кроме 80 и 443 ?

а він получить завжди один і тотже ip? а якщо буде збій і получить інший? тоді що?

Ссылка на сообщение
Поделиться на других сайтах

Запаковать свичи во vlan per user, сделать костыльный ip unnumbered, повесить на каждый интерфейс dhcp server, потом банить в адрес листе по IP.

Відредаговано 2late
Ссылка на сообщение
Поделиться на других сайтах

Запаковать свичи во vlan per user, сделать костыльный ip unnumbered, повесить на каждый интерфейс dhcp server, потом банить в адрес листе по IP.

а якщо нема керованих свічів тільки 1 mikrotik і все і то виступає в якості сервера.тоді як?

Ссылка на сообщение
Поделиться на других сайтах

а якщо нема керованих свічів тільки 1 mikrotik і все і то виступає в якості сервера.тоді як?

настраиваете DHCP-сервер со static-only списком и add arp for leases. Добавляете запись в leases с маком и айпишкой пользователя. На локальном интерфейсе делаете arp=reply-only. В итоге должно всем выдавать фиксированные к маку айпишки + добавлять запись в ARP. В свою очередь arp=reply-only не даст работы тем, кого нету в списке арп или ip не соответствует mac.. 

Відредаговано jcomm
Ссылка на сообщение
Поделиться на других сайтах

Вы сами себе противоречите:

...который получил автоматический ип (привязка по мак) запретить 

 

а він получить завжди один і тотже ip? а якщо буде збій і получить інший? тоді що?

Как это?  :wacko:

 

краще блокувати все інтернет по mac адресу.а потім дозволити тільки ці 3 порти по mac

:wacko: А чем вас не устраивает человеческое назначение пользователям IP-адреса и дальнейшее руление фаерволом?

Відредаговано jcomm
Ссылка на сообщение
Поделиться на других сайтах

Вы сами себе противоречите:

...который получил автоматический ип (привязка по мак) запретить 

 

а він получить завжди один і тотже ip? а якщо буде збій і получить інший? тоді що?

Как это?  :wacko:

 

краще блокувати все інтернет по mac адресу.а потім дозволити тільки ці 3 порти по mac

:wacko: А чем вас не устраивает человеческое назначение пользователям IP-адреса и дальнейшее руление фаерволом?

перша цитата це не мої слова.

Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Вхід

Уже зарегистрированы? Войдите здесь.

Войти сейчас
  • Зараз на сторінці   0 користувачів

    Немає користувачів, що переглядають цю сторінку.

  • Схожий контент

    • Від Туйон
      Отличие от обычной SXT5 - гигабитный порт и лицензия 4 уровня (может быть не только бриджом а и точкой доступа).
      Старенькая, АС-стандарт не поддерживает.
      В своё время мегабит 160+ вроде качала.
      Где-то возможно в том же гараже есть вторая такая же, если надо - могу поискать.
      Внешнее состояние нормальное. Чуть пожелтела но трещин и т д нету.
      В комплекте сама точка и хвостик крепления (вставлятся в саму антенну).
      РОЕ где-то в работе до сих пор, но подойдут любые.
      Цена.. пусть для начала будет 1000 грн.
      Проверена в комнате "на коленке", дам время на полноценную поверку, а то мало ли (года два лежала отдыхала).
      Желающие пишите в ЛС.
       
      https://www.technotrade.com.ua/Products/MikroTik_SXT_G_5HnD.php
    • Від independent
      Mikrotik rb4011igs+5hacq-2hnd-in
      Б/в.
      Ціна 5075 грн
       
      https://www.olx.ua/d/uk/obyavlenie/mikrotik-rb4011igs-5hacq2hnd-in-IDWH6Lo.html
    • Від independent
      Mikrotik rb4011igs+5hacq-2hnd-in б/в.
      Продається в результаті великого енергоспоживання від дбж.
       
      Ціна 6100 грн
       
      https://www.olx.ua/d/uk/obyavlenie/mikrotik-rb4011igs-5hacq2hnd-in-IDWH6Lo.html
    • Від Axel K
      Вітаю!
       
      налаштування capsman
      /caps-man channel add band=2ghz-b/g/n extension-channel=disabled frequency=2412,2437,2462 name=channel1 add band=5ghz-a/n/ac extension-channel=disabled frequency=5180 name=channel5 skip-dfs-channels=yes tx-power=40 /caps-man datapath add bridge=Main client-to-client-forwarding=yes local-forwarding=no name=datapath1 /caps-man configuration add channel=channel1 datapath=datapath1 max-sta-count=20 mode=ap name=cfg1 rx-chains=0,1,2,3 ssid=25 tx-chains=0,1,2,3 add channel=channel5 datapath=datapath1 hide-ssid=no mode=ap name=cfg5 rx-chains=0,1,2,3 ssid=25 tx-chains=0,1,2,3 /caps-man access-list add action=reject allow-signal-out-of-range=10s disabled=no signal-range=-120..-85 ssid-regexp="" /caps-man manager set enabled=yes /caps-man provisioning add action=create-dynamic-enabled hw-supported-modes=ac master-configuration=cfg5 name-format=prefix-identity add action=create-dynamic-enabled hw-supported-modes=gn master-configuration=cfg1 name-format=prefix-identity проблема у низькій швидкості у клієнта
      якщо включити local-forwarding=yes, клієнт підключається, але не отримує ір.
       
      розумію, що на bdcom не вистачає налаштувань, прошу допомоги.
    • Від viktorrc17
      Підкажіть. Така ситуація.
      Роутер Mikrotik працює від ups.
      Провайдер Київстар.
      При відключенні ел енергії, інтернет працює поки не здохнуть акуми на якомусь з вузлів у провайдера.
      Після включення ел.енергіії, інтернет не працює, допомагає перезавантаження роутера, або оновлення ip адреси.
      Що можна з цим зробити?
×
×
  • Створити нове...