Перейти до

Запрет для LAN порта Mikrotik


Рекомендованные сообщения

Добрый день!
 

Помогите пожалуйста реализовать следующюю Задачу:

Есть Микротик rb-941-2nd.

Есть ПК стандартный win7. Подключен в Lan порт Микротика.

Как настроить Вышеуказаный ЛАН порт на микротике, чтобы на компе был доступ только к 2ум сайтам

П.С.

Настройка блокировки по ip компа не рассматривается. Нужно именно настроить порт

Заранее спасибо 

Відредаговано tehno.od.ua
Ссылка на сообщение
Поделиться на других сайтах

Спасибо за очень вразумительный ответ, но "Пошукать" то "Пошукал"

Но Результат поиска: Все решают вопрос блокировки но маку и ip всех сайтов кроме избранных, а тут стоит задача именно порт настроить только под определенные сайты.

Может не там искал.... Может подскажите лучше какое-то решение, вместо указания на google.com

Ссылка на сообщение
Поделиться на других сайтах

Добрый день!

 

Помогите пожалуйста реализовать следующюю Задачу:

Есть Микротик rb-941-2nd.

Есть ПК стандартный win7. Подключен в Lan порт Микротика.

Как настроить Вышеуказаный ЛАН порт на микротике, чтобы на компе был доступ только к 2ум сайтам

П.С.

Настройка блокировки по ip компа не рассматривается. Нужно именно настроить порт

Заранее спасибо 

 

Я таки думаю, что никак это микротику не подсилу, ибо разные уровни OSI.

Ссылка на сообщение
Поделиться на других сайтах

как вариант:
создаете отдельный бридж с отдельной адресацией, навешиваете его на этот порт
все нужные ACL навешиваете на подсеть
результат: юзер вбивает руцями ip с другой подсети - ничего не работает
какой бы ип не вбивал с нужной - один хрен не работает

Ссылка на сообщение
Поделиться на других сайтах


# For ROS v6.19+

:local WWWsite1 "www.site1.com or IP1";
:local WWWsite2 "www.site2.com or IP2";
:local IFaceUSER "ether2";

/ip firewall address-list;
add address=$WWWsite1 list=allowed;
add address=$WWWsite2 list=allowed;
/ip firewall filter;
add action=accept chain=forward in-interface=$IFaceUSER src-address-list=allowed;
add action=accept chain=forward dst-port=53 in-interface=$IFaceUSER protocol=udp;
add action=drop chain=forward in-interface=$IFaceUSER

 

Відредаговано SavPasha
Ссылка на сообщение
Поделиться на других сайтах
# For ROS v6.19+ 

:local WWWsite1 "www.site1.com or IP1";
:local WWWsite2 "www.site2.com or IP2";
:local IFaceUSER "ether2"; 

/ip firewall address-list;
add address=$WWWsite1 list=allowed;
add address=$WWWsite2 list=allowed; 
/ip firewall filter;
add action=accept chain=forward in-interface=$IFaceUSER src-address-list=allowed;
add action=accept chain=forward dst-port=53 in-interface=$IFaceUSER protocol=udp; 
add action=drop chain=forward in-interface=$IFaceUSER

 

Самая важная часть, которая filter, однако работать не будет. В первом правиле либо надо заменить in-interface на out-interface либо вместо src-address-list ставить dst-address-list. Ну и для любителей лаконичности можно использовать комбинацию src-address-list=!allowed :

 

add action=drop chain=forward out-interface=$IFaceUSER src-address-list=!allowed;

 

Плюс ваше второе правило по замыслу должно было блокировать сторонние днс (?), но что-то мне кажется, что оно этого не делает.

Відредаговано Matou
Ссылка на сообщение
Поделиться на других сайтах

В першому правилі ви дійсно праві! Не спорю запрацювався!

У всіх інших ні. Досконало проаналізуйте як користувач відкриє сайт якщо йому ДНС сервер не дасть відповідь. Не факт, що вони використовують локальний ДНС сервер.

 

ось виправлений скрипт..

# For ROS v6.19+ 

:local WWWsite1 "www.site1.com or IP1";
:local WWWsite2 "www.site2.com or IP2";
:local IFaceUSER "ether2"; 

/ip firewall address-list;
add address=$WWWsite1 list=allowed;
add address=$WWWsite2 list=allowed; 
/ip firewall filter;
add action=accept chain=forward in-interface=$IFaceUSER dst-address-list=allowed;
add action=accept chain=forward dst-port=53 in-interface=$IFaceUSER protocol=udp; 
add action=drop chain=forward in-interface=$IFaceUSER
Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Вхід

Уже зарегистрированы? Войдите здесь.

Войти сейчас
  • Зараз на сторінці   0 користувачів

    Немає користувачів, що переглядають цю сторінку.

  • Схожий контент

×
×
  • Створити нове...