Запрет для LAN порта Mikrotik

[tehno.od.ua 0]

Добрый день!
 

Помогите пожалуйста реализовать следующюю Задачу:

Есть Микротик rb-941-2nd.

Есть ПК стандартный win7. Подключен в Lan порт Микротика.

Как настроить Вышеуказаный ЛАН порт на микротике, чтобы на компе был доступ только к 2ум сайтам

П.С.

Настройка блокировки по ip компа не рассматривается. Нужно именно настроить порт

Заранее спасибо 

Відредаговано 2017-08-01 09:45:20 tehno.od.ua

[Dictator 856]

ЗНАЧИТЬ У ИНТЫРНЕТ У ТЭБЭ УМА ХВАТЫЛО ПОПАСТЫ - А ПОШУКАТЬ ИНФОРМАЦЫЮ НЕ?

[tehno.od.ua 0]

Спасибо за очень вразумительный ответ, но "Пошукать" то "Пошукал"

Но Результат поиска: Все решают вопрос блокировки но маку и ip всех сайтов кроме избранных, а тут стоит задача именно порт настроить только под определенные сайты.

Может не там искал.... Может подскажите лучше какое-то решение, вместо указания на google.com

[Matou 83]

Добрый день!

 

Помогите пожалуйста реализовать следующюю Задачу:

Есть Микротик rb-941-2nd.

Есть ПК стандартный win7. Подключен в Lan порт Микротика.

Как настроить Вышеуказаный ЛАН порт на микротике, чтобы на компе был доступ только к 2ум сайтам

П.С.

Настройка блокировки по ip компа не рассматривается. Нужно именно настроить порт

Заранее спасибо 

 

Я таки думаю, что никак это микротику не подсилу, ибо разные уровни OSI.

[chilly86 2]

как вариант:
создаете отдельный бридж с отдельной адресацией, навешиваете его на этот порт
все нужные ACL навешиваете на подсеть
результат: юзер вбивает руцями ip с другой подсети - ничего не работает
какой бы ип не вбивал с нужной - один хрен не работает

[SavPasha 13]

# For ROS v6.19+ 


:local WWWsite1 "www.site1.com or IP1";

:local WWWsite2 "www.site2.com or IP2";

:local IFaceUSER "ether2"; 


/ip firewall address-list;

add address=$WWWsite1 list=allowed;

add address=$WWWsite2 list=allowed; 

/ip firewall filter;

add action=accept chain=forward in-interface=$IFaceUSER src-address-list=allowed;

add action=accept chain=forward dst-port=53 in-interface=$IFaceUSER protocol=udp; 

add action=drop chain=forward in-interface=$IFaceUSER

 

Відредаговано 2017-08-02 07:07:34 SavPasha

[tehno.od.ua 0]

Спасибо огромное! попробую, отпишусь

[Matou 83]

# For ROS v6.19+ 

:local WWWsite1 "www.site1.com or IP1";
:local WWWsite2 "www.site2.com or IP2";
:local IFaceUSER "ether2"; 

/ip firewall address-list;
add address=$WWWsite1 list=allowed;
add address=$WWWsite2 list=allowed; 
/ip firewall filter;
add action=accept chain=forward in-interface=$IFaceUSER src-address-list=allowed;
add action=accept chain=forward dst-port=53 in-interface=$IFaceUSER protocol=udp; 
add action=drop chain=forward in-interface=$IFaceUSER

 

Самая важная часть, которая filter, однако работать не будет. В первом правиле либо надо заменить in-interface на out-interface либо вместо src-address-list ставить dst-address-list. Ну и для любителей лаконичности можно использовать комбинацию src-address-list=!allowed :

 

add action=drop chain=forward out-interface=$IFaceUSER src-address-list=!allowed;

 

Плюс ваше второе правило по замыслу должно было блокировать сторонние днс (?), но что-то мне кажется, что оно этого не делает.

Відредаговано 2017-08-02 13:32:30 Matou

[SavPasha 13]

В першому правилі ви дійсно праві! Не спорю запрацювався!

У всіх інших ні. Досконало проаналізуйте як користувач відкриє сайт якщо йому ДНС сервер не дасть відповідь. Не факт, що вони використовують локальний ДНС сервер.

 

ось виправлений скрипт..

# For ROS v6.19+ 

:local WWWsite1 "www.site1.com or IP1";
:local WWWsite2 "www.site2.com or IP2";
:local IFaceUSER "ether2"; 

/ip firewall address-list;
add address=$WWWsite1 list=allowed;
add address=$WWWsite2 list=allowed; 
/ip firewall filter;
add action=accept chain=forward in-interface=$IFaceUSER dst-address-list=allowed;
add action=accept chain=forward dst-port=53 in-interface=$IFaceUSER protocol=udp; 
add action=drop chain=forward in-interface=$IFaceUSER