Надо IP адресам закрыть инет кроме mail.ru и скайпа

Обсуждение оборудования и его настройки
Ответить
Nikolai54
Сообщения: 11
Зарегистрирован: 14 сен 2011, 12:58

Добрый день! Прошу помощи)
Надо IP адресам 192.168.0.10-192.168.0.20 полностью закрыть все сайты кроме почты на mail.ru а именно https://e.mail.ru и оставить скайп.
Этим IP адресам 192.168.0.21-192.168.0.33 открыть все.
Изначально роутер настраивался по этой ссылке http://www.technotrade.com.ua/Articles/ ... _setup.php
Подскажите пожалуйста, буду Вам очень признателен.
Последний раз редактировалось Nikolai54 18 дек 2014, 15:05, всего редактировалось 1 раз.


DES
Сообщения: 91
Зарегистрирован: 08 авг 2013, 21:12

ссылка битая


RB750UP with Firmware:3.19 && RouterOS:6.23
olegs
Сообщения: 26
Зарегистрирован: 12 дек 2014, 15:08
Откуда: Коломна

/ip firewall address-list
###Адрес лист с полным доступом
add address=192.168.0.21-192.168.0.33 list=All-WEB
###Адрес лист с частичным доступом
add address=192.168.0.10-192.168.0.20 list=Drop-WEB
###Адрес лист с доступом для "Drop-WEB" листа
add address=94.100.180.199 comment="mail.ru -1" list=Accept-WEB
add address=217.69.139.199 comment="mail.ru -2" list=Accept-WEB
/ip firewall nat
###Редирект всех запросов по портам 80 и 443 на Localhost если ip сайта не добавлен в "Accept-WEB" лист
add action=dst-nat chain=dstnat dst-address-list=!Accept-WEB dst-port=80,443 protocol=tcp src-address-list=Drop-WEB to-addresses=127.0.0.1
###Маскарад для 192.168.0.21-192.168.0.33
add action=masquerade chain=srcnat src-address-list=All-WEB
###Маскарад для 192.168.0.10-192.168.0.20 (Ущербных :hi_hi_hi: )
add action=masquerade chain=srcnat src-address-list=Drop-WEB

Кстати Одноклассники тож заблочены :-)


CCR1036-12G-4S + RB2011UiAS
RaZoR
Сообщения: 36
Зарегистрирован: 31 окт 2014, 14:37

Вот мне интересно как открыть или заблокировать доступ к скайп??? Пробовал по L7 protocol не сработало


olegs
Сообщения: 26
Зарегистрирован: 12 дек 2014, 15:08
Откуда: Коломна

RaZoR писал(а):Вот мне интересно как открыть или заблокировать доступ к скайп??? Пробовал по L7 protocol не сработало

Блокируй порты


CCR1036-12G-4S + RB2011UiAS
Nikolai54
Сообщения: 11
Зарегистрирован: 14 сен 2011, 12:58

olegs писал(а):/ip firewall address-list
###Адрес лист с полным доступом
add address=192.168.0.21-192.168.0.33 list=All-WEB
###Адрес лист с частичным доступом
add address=192.168.0.10-192.168.0.20 list=Drop-WEB
###Адрес лист с доступом для "Drop-WEB" листа
add address=94.100.180.199 comment="mail.ru -1" list=Accept-WEB
add address=217.69.139.199 comment="mail.ru -2" list=Accept-WEB
/ip firewall nat
###Редирект всех запросов по портам 80 и 443 на Localhost если ip сайта не добавлен в "Accept-WEB" лист
add action=dst-nat chain=dstnat dst-address-list=!Accept-WEB dst-port=80,443 protocol=tcp src-address-list=Drop-WEB to-addresses=127.0.0.1
###Маскарад для 192.168.0.21-192.168.0.33
add action=masquerade chain=srcnat src-address-list=All-WEB
###Маскарад для 192.168.0.10-192.168.0.20 (Ущербных :hi_hi_hi: )
add action=masquerade chain=srcnat src-address-list=Drop-WEB

Кстати Одноклассники тож заблочены :-)

Спасибо большое , буду пробовать.
еще вопрос наверное mail.ru часто меняет IP как это автоматизировать что бы самому этим не заниматься.
хотя наверное можно сделать и так 94.100.180.1-94.100.180.255
217.69.139.1-217.69.139.255 .
тогда будут открыты и Мой Мир,Одноклассники, Игры, Знакомства...


olegs
Сообщения: 26
Зарегистрирован: 12 дек 2014, 15:08
Откуда: Коломна

у меня уже давно стоят 94.100.180.199/32 и 217.69.139.199/32 и все вроде норм, а дальше хозяин барин ))) просто пингани mail.ru а если что то лишний ip всегда можно добавить
но так 94.100.180.1-94.100.180.254 я бы не делал... много лишнего попадает.


CCR1036-12G-4S + RB2011UiAS
Аватара пользователя
simpl3x
Модератор
Сообщения: 1532
Зарегистрирован: 19 апр 2012, 14:03

Nikolai54 писал(а):Спасибо большое , буду пробовать.
еще вопрос наверное mail.ru часто меняет IP как это автоматизировать что бы самому этим не заниматься.
хотя наверное можно сделать и так 94.100.180.1-94.100.180.255
217.69.139.1-217.69.139.255 .
тогда будут открыты и Мой Мир,Одноклассники, Игры, Знакомства...

можно на ripe.net посмотреть все блоки адресов мэил.ру и прочих

###Редирект всех запросов по портам 80 и 443 на Localhost если ip сайта не добавлен в "Accept-WEB" лист
add action=dst-nat chain=dstnat dst-address-list=!Accept-WEB dst-port=80,443 protocol=tcp src-address-list=Drop-WEB to-addresses=127.0.0.1

не совсем понятно зачем загонять трафик на локал хост. если для того что бы его запретить то не проще ли его просто дропнуть? а если там у вас прокси, то зачем https туда гнать?


olegs
Сообщения: 26
Зарегистрирован: 12 дек 2014, 15:08
Откуда: Коломна

Проски нет, в место 127.0.0.1 стоит заглушка )))


CCR1036-12G-4S + RB2011UiAS
Ответить