Jump to content
Local
Sign in to follow this  
tehno.od.ua

Запрет для LAN порта Mikrotik

Recommended Posts

Добрый день!
 

Помогите пожалуйста реализовать следующюю Задачу:

Есть Микротик rb-941-2nd.

Есть ПК стандартный win7. Подключен в Lan порт Микротика.

Как настроить Вышеуказаный ЛАН порт на микротике, чтобы на компе был доступ только к 2ум сайтам

П.С.

Настройка блокировки по ip компа не рассматривается. Нужно именно настроить порт

Заранее спасибо 

Edited by tehno.od.ua

Share this post


Link to post
Share on other sites

ЗНАЧИТЬ У ИНТЫРНЕТ У ТЭБЭ УМА ХВАТЫЛО ПОПАСТЫ - А ПОШУКАТЬ ИНФОРМАЦЫЮ НЕ?

Share this post


Link to post
Share on other sites

Спасибо за очень вразумительный ответ, но "Пошукать" то "Пошукал"

Но Результат поиска: Все решают вопрос блокировки но маку и ip всех сайтов кроме избранных, а тут стоит задача именно порт настроить только под определенные сайты.

Может не там искал.... Может подскажите лучше какое-то решение, вместо указания на google.com

Share this post


Link to post
Share on other sites

Добрый день!

 

Помогите пожалуйста реализовать следующюю Задачу:

Есть Микротик rb-941-2nd.

Есть ПК стандартный win7. Подключен в Lan порт Микротика.

Как настроить Вышеуказаный ЛАН порт на микротике, чтобы на компе был доступ только к 2ум сайтам

П.С.

Настройка блокировки по ip компа не рассматривается. Нужно именно настроить порт

Заранее спасибо 

 

Я таки думаю, что никак это микротику не подсилу, ибо разные уровни OSI.

Share this post


Link to post
Share on other sites

как вариант:
создаете отдельный бридж с отдельной адресацией, навешиваете его на этот порт
все нужные ACL навешиваете на подсеть
результат: юзер вбивает руцями ip с другой подсети - ничего не работает
какой бы ип не вбивал с нужной - один хрен не работает

Share this post


Link to post
Share on other sites


# For ROS v6.19+

:local WWWsite1 "www.site1.com or IP1";
:local WWWsite2 "www.site2.com or IP2";
:local IFaceUSER "ether2";

/ip firewall address-list;
add address=$WWWsite1 list=allowed;
add address=$WWWsite2 list=allowed;
/ip firewall filter;
add action=accept chain=forward in-interface=$IFaceUSER src-address-list=allowed;
add action=accept chain=forward dst-port=53 in-interface=$IFaceUSER protocol=udp;
add action=drop chain=forward in-interface=$IFaceUSER

 

Edited by SavPasha

Share this post


Link to post
Share on other sites
# For ROS v6.19+ 

:local WWWsite1 "www.site1.com or IP1";
:local WWWsite2 "www.site2.com or IP2";
:local IFaceUSER "ether2"; 

/ip firewall address-list;
add address=$WWWsite1 list=allowed;
add address=$WWWsite2 list=allowed; 
/ip firewall filter;
add action=accept chain=forward in-interface=$IFaceUSER src-address-list=allowed;
add action=accept chain=forward dst-port=53 in-interface=$IFaceUSER protocol=udp; 
add action=drop chain=forward in-interface=$IFaceUSER

 

Самая важная часть, которая filter, однако работать не будет. В первом правиле либо надо заменить in-interface на out-interface либо вместо src-address-list ставить dst-address-list. Ну и для любителей лаконичности можно использовать комбинацию src-address-list=!allowed :

 

add action=drop chain=forward out-interface=$IFaceUSER src-address-list=!allowed;

 

Плюс ваше второе правило по замыслу должно было блокировать сторонние днс (?), но что-то мне кажется, что оно этого не делает.

Edited by Matou

Share this post


Link to post
Share on other sites

В першому правилі ви дійсно праві! Не спорю запрацювався!

У всіх інших ні. Досконало проаналізуйте як користувач відкриє сайт якщо йому ДНС сервер не дасть відповідь. Не факт, що вони використовують локальний ДНС сервер.

 

ось виправлений скрипт..

# For ROS v6.19+ 

:local WWWsite1 "www.site1.com or IP1";
:local WWWsite2 "www.site2.com or IP2";
:local IFaceUSER "ether2"; 

/ip firewall address-list;
add address=$WWWsite1 list=allowed;
add address=$WWWsite2 list=allowed; 
/ip firewall filter;
add action=accept chain=forward in-interface=$IFaceUSER dst-address-list=allowed;
add action=accept chain=forward dst-port=53 in-interface=$IFaceUSER protocol=udp; 
add action=drop chain=forward in-interface=$IFaceUSER

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this  

  • Recently Browsing   0 members

    No registered users viewing this page.

  • Similar Content

    • By Иван Авилов
      Ремонт точек доступа, роутеров , камер , свитчей  Ubiquiti (UBNT), MikroTik , Dahua , Hikvision и другого сетевого оборудования с гарантией.
      Если ваша точка доступа или роутер:
      - не включается;
      - не видна в сети, не пингуется, на точку доступа невозможно зайти;
      - не раздает интернет по Wi-Fi;
      - постоянно обрывает соединение;
      - на роутере или точке стала низкой скорость,
      то, скорее всего, вам необходима помощь квалифицированного специалиста по ремонту.
      Сервисный центр LanService выполняет следующие виды ремонтов оборудования MikroTik и Ubiquiti:
      - перепрошивку точек доступа, восстановление прошивки;
      - замену мелких деталей;
      - ремонт цепей питания;
      - устранение короткого замыкания;
      - замену процессора, LAN-порта, радиомодуля, флеш-памяти и т. д.
      Ремонтируем также точки доступа и роутеры, переставшие работать после грозы.
      Диагностика бесплатно!
      После диагностики оборудования озвучиваются ориентировочные сроки и стоимость ремонта.
      Работаем по всей Украине через Новую Почту.
      Сроки ремонта оборудования Ubiquiti (UBNT), MikroTik:
      - при наличии запчастей - от 2 до 10 дней;
      - при отсутствии запчастей - от 2 до 4 недель.
      Стоимость от 100 грн.
      После ремонта оборудование обязательно тестируется. На выполненные работы - гарантия 1 мес!
      Звоните:
      066-440-73-23
      096-731-98-45
    • By Vingpon
      Продам Mikrotik CCR1036-8G-2S+ новый брался для резерва не использовался цена 20 000 грн.



    • By linki
      Нужна помощь в настройке capsman на routerboard и двух точек. В также нужно настроить два порта на приём двух каналов интернета. Использоваться будет один, другой для подхвата если ляжет основной.
      Цена вопроса 600грн 
       
    • By Olh@
      Продам микротик RB2011UiAS-RM
      В работе практически не был, состояние 9/10 пострадал при переездах. 
      Цена 1500
    • By ip-si.com
      Продам вот такое железо:
      1. Mikrotik Cloud Core Router CCR1016-12S-1S+ 
      2. sfp to rj45
      Все новое, в коробке и с гарантией.
      Все это добро за 600дол.
      Можно наложкой, можно на карту, можно на ФОП, а можно и самовывозом!
      Пишите в личку или звоните.
      0965397975 Андрей
       
×