Jump to content

разрешенные порты в микротик


Recommended Posts

Добрый день, поджскажите пожалуйста как одному клиенту который получил автоматический ип (привязка по мак) запретить использовать все порты кроме 80 и 443 ?

Link to post
Share on other sites

Добрый день, поджскажите пожалуйста как одному клиенту который получил автоматический ип (привязка по мак) запретить использовать все порты кроме 80 и 443 ?

можу допомогти

Link to post
Share on other sites

Будьте добры подскажите правильно ли я сделал, создал для правила в фаерволе:

add action=drop chain=forward comment="only 80/443" dst-port=!80,443 protocol=\
    tcp src-address=192.168.88.105

add action=drop chain=forward comment="only 80/443 dns" dst-port=!53 protocol=\
    udp src-address=192.168.88.105

для ип 192.168.88.105 должны работать только 80 и 443 порты

Link to post
Share on other sites

краще блокувати все інтернет по mac адресу.а потім дозволити тільки ці 3 порти по mac

 
Можно по подробнее?
Link to post
Share on other sites

Будьте добры подскажите правильно ли я сделал, создал для правила в фаерволе:

add action=drop chain=forward comment="only 80/443" dst-port=!80,443 protocol=\
    tcp src-address=192.168.88.105

add action=drop chain=forward comment="only 80/443 dns" dst-port=!53 protocol=\
    udp src-address=192.168.88.105

для ип 192.168.88.105 должны работать только 80 и 443 порты

Можно и так. Правельно.

Link to post
Share on other sites

add action=drop chain=forward comment="only 80/443" dst-port=!80,443 protocol=\
tcp 
src-mac-address=00:00:00:32:00:00

add action=drop chain=forward comment="dns" dst-port=!53 protocol=\
udp 
src-mac-address=00:00:00:32:00:00

 

Где src-mac-address=00:00:00:32:00:00 мак блокируемого клиента :)

Link to post
Share on other sites

краще блокувати все інтернет по mac адресу.а потім дозволити тільки ці 3 порти по mac

Зачем плодить кучу правил ?

Если в дальнейшем у ТС возникнет надобность блочить не одного, а к примеру 10 клиентов. Можно конечно модифицировать под список это будет так :

add action=drop chain=forward comment="only 80/443" dst-port=!80,443 protocol=\

tcp src-address-list=Clients_1

add action=drop chain=forward comment="dns" dst-port=!53 protocol=\

udp src-address-list=Clients_1 

Link to post
Share on other sites

Добрый день, поджскажите пожалуйста как одному клиенту который получил автоматический ип (привязка по мак) запретить использовать все порты кроме 80 и 443 ?

а він получить завжди один і тотже ip? а якщо буде збій і получить інший? тоді що?

Link to post
Share on other sites

Запаковать свичи во vlan per user, сделать костыльный ip unnumbered, повесить на каждый интерфейс dhcp server, потом банить в адрес листе по IP.

Edited by 2late
Link to post
Share on other sites

Запаковать свичи во vlan per user, сделать костыльный ip unnumbered, повесить на каждый интерфейс dhcp server, потом банить в адрес листе по IP.

а якщо нема керованих свічів тільки 1 mikrotik і все і то виступає в якості сервера.тоді як?

Link to post
Share on other sites

а якщо нема керованих свічів тільки 1 mikrotik і все і то виступає в якості сервера.тоді як?

настраиваете DHCP-сервер со static-only списком и add arp for leases. Добавляете запись в leases с маком и айпишкой пользователя. На локальном интерфейсе делаете arp=reply-only. В итоге должно всем выдавать фиксированные к маку айпишки + добавлять запись в ARP. В свою очередь arp=reply-only не даст работы тем, кого нету в списке арп или ip не соответствует mac.. 

Edited by jcomm
Link to post
Share on other sites

Вы сами себе противоречите:

...который получил автоматический ип (привязка по мак) запретить 

 

а він получить завжди один і тотже ip? а якщо буде збій і получить інший? тоді що?

Как это?  :wacko:

 

краще блокувати все інтернет по mac адресу.а потім дозволити тільки ці 3 порти по mac

:wacko: А чем вас не устраивает человеческое назначение пользователям IP-адреса и дальнейшее руление фаерволом?

Edited by jcomm
Link to post
Share on other sites

Вы сами себе противоречите:

...который получил автоматический ип (привязка по мак) запретить 

 

а він получить завжди один і тотже ip? а якщо буде збій і получить інший? тоді що?

Как это?  :wacko:

 

краще блокувати все інтернет по mac адресу.а потім дозволити тільки ці 3 порти по mac

:wacko: А чем вас не устраивает человеческое назначение пользователям IP-адреса и дальнейшее руление фаерволом?

перша цитата це не мої слова.

Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
  • Recently Browsing   0 members

    No registered users viewing this page.

  • Similar Content

    • By viktorrc17
      Є мікротік з білим ip 37.57.хх.хх Налаштований nat. Srcnat- masquerade
      Lan 192.168.0.1
      До нього підключено другий мікротік по dhcp 192.168.0.2 
      Налаштований nat. Srcnat- masquerade
      Lan 192.168.1.1
      До другого роутера підключено nanostation з адресою 192.168.1.5
      На першому мікротік прокинув порт на другій мікротік. ( Chain-dstnat.  Protocol-  tcp. Dst port 726.  Action - dst-nat. To adress 192.168.0.2  To ports 80)
      Доступ на другий мікротік по білому ір є. 
      Треба зробити доступ на nanostation з білого ір.
      Підкажіть, прописував по аналогії з першим мікротіком на 192.168.1.5. Нічого не вийшло
       
    • By defence_k
      Військовій частині ЗСУ дуже потрібні старенькі MikroTik RB751U(G)-2HnD або аналогічні. Наявність блока живлення та стан корпуса байдуже, живитися будуть по РоЕ. RB951 теж годяться, проте в них гірший радіотракт . 
      Будемо вдячні за кожен пристрій.
      PS не відмовимося від фахової консультації з побудови CAPsMAN
    • By Drader
      Продам маршрутизатор (роутер) Microtik CCR1036-8G-2S+



    • By valexa
      Всех преветствую. Куплю, возможно какой то аналог микротик, предлогайте рассмотрю все варианты. Всем мира.
    • By x-net
      Продам вживаний Mikrotik CRS326-24S+2Q+ : 24 порти 10Г, 2 порти 40Г, 2 блоки живлення. Прошу 15 тис.
×
×
  • Create New...