Отключение одного пользователя 1С от сети Интернет
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
-
Ole
- Сообщения: 7
- Зарегистрирован: 27 июн 2023, 13:49
Добрый день. У нас 2 сети, организованные на роутере Mikrotik CRS326-24G-2S+RM. Обе сети подключены к Интернет, одна из сетей к серверу 1С. Можно ли на этом роутере отключить одного определенного пользователя 1С от сети Интернет, но так, чтобы он при этом мог иметь доступ к серверу 1С и работать в 1С? Если можно, то каким образом?
-
xvo
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
Зафиксировать ему IP и в firewall запретить выход с этого IP наружу.
Telegram: @thexvo
-
Ole
- Сообщения: 7
- Зарегистрирован: 27 июн 2023, 13:49
Ip-адреса всем присвоены, а вот что в Firewall конкретно нужно сделать? Какое-то правило фильтрации в filter rules создать надо? Выбрать Forward и в Src. Address указать IP шлюза провайдера? А в Dst. Address IP пользователя что ли? А в In Interface и Out Interface чьи номера интерфейсов роутера надо указать конкретно? Извините, что спрашиваю, у меня нет времени и прав для экспериментов на работе. Нельзя ли как то подробнее?
Последний раз редактировалось Ole 27 июн 2023, 18:13, всего редактировалось 1 раз.
-
xvo
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
Правило в цепочку forward добавить, которое будет запрещать этому адресу выход в out-interface-list=WAN (если у вас этот список используется).
Ну и подтянуть выше разрешающего LAN -> WAN для остальных.
Ну и подтянуть выше разрешающего LAN -> WAN для остальных.
Telegram: @thexvo
-
Ole
- Сообщения: 7
- Зарегистрирован: 27 июн 2023, 13:49
А можете объяснить конкретнее, что делать, дело в том, что я на работе могу только свой компьютер использовать для эксперимента, но на нем организована общая папка, которая может быть использована в любой момент, но хотя бы от Интернета свой ПК отключить так, чтобы общая папка работала.
-
Ole
- Сообщения: 7
- Зарегистрирован: 27 июн 2023, 13:49
Единственное, что нашел пока:
Так, если правило будет создано в цепочке:
PreRouting, то Dst.Address будет адресом Микротика (отправителя) а Src.Address будет адресом клиента — получателя.
PostRouting или Forward, то Dst.Address будет локальным адресом клиента (отправителя). А Src.Address будет интернет-адресом получателя Микротика.
Так, если правило будет создано в цепочке:
PreRouting, то Dst.Address будет адресом Микротика (отправителя) а Src.Address будет адресом клиента — получателя.
PostRouting или Forward, то Dst.Address будет локальным адресом клиента (отправителя). А Src.Address будет интернет-адресом получателя Микротика.
-
Ole
- Сообщения: 7
- Зарегистрирован: 27 июн 2023, 13:49
В Interface List настройка только bridge:
List Interface
LAN bridge-B (бухгалтерия)
LAN bridge-U (управление)
WAN ether1
List Interface
LAN bridge-B (бухгалтерия)
LAN bridge-U (управление)
WAN ether1
-
Ole
- Сообщения: 7
- Зарегистрирован: 27 июн 2023, 13:49
Нашел еще:
Блокировка Интернета
/ip firewall address-list add list=Block_list address=192.168.0.1
/ip firewall filter add chain=forward src-address-list=Block_list dst-address=!192.168.0.0/24 action=drop
viewtopic.php?f=15&t=6409
viewtopic.php?f=15&t=6409&start=10
Но пробовать пока не рискую.
Блокировка Интернета
/ip firewall address-list add list=Block_list address=192.168.0.1
/ip firewall filter add chain=forward src-address-list=Block_list dst-address=!192.168.0.0/24 action=drop
viewtopic.php?f=15&t=6409
viewtopic.php?f=15&t=6409&start=10
Но пробовать пока не рискую.
-
xvo
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
Я вам вроде написал какое конкретно правило и куда?
Telegram: @thexvo
-
Ole
- Сообщения: 7
- Зарегистрирован: 27 июн 2023, 13:49
Методом тыка запрещено, но все-таки я улучил момент, когда пользователи заняты были другими делами и получился тот вариант, который я описал выше. Но только я не написал выше, что еще вдобавок второе правило, а именно:
/ip firewall filter add chain=forward src-address-list=Block_list dst-address=!192.168.x.x/24 action=drop
надо поднять в Firewall/Filter Rules на самый верх, в общем все, как описано в теме "Блокировка Интернета":
viewtopic.php?f=15&t=6409
/ip firewall filter add chain=forward src-address-list=Block_list dst-address=!192.168.x.x/24 action=drop
надо поднять в Firewall/Filter Rules на самый верх, в общем все, как описано в теме "Блокировка Интернета":
viewtopic.php?f=15&t=6409
Последний раз редактировалось Ole 29 июн 2023, 10:47, всего редактировалось 2 раза.