Запретить весь нет изключая только три адреса

Обсуждение ПО и его настройки
Ответить
prompt
Сообщения: 23
Зарегистрирован: 06 мар 2019, 17:17

Приветь всем.
Как написал в заглавие нужно решение етой задаче.
На один мой обект надо блокироват всеь интернет, изключая только три статичние адреса.
Рутер -RB2011UAS.


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

Я вопрос понял двояко:

а) три адреса, то есть чтобы только 3 адреса из локальной сети могли выходить в Интернет?
б) только НА три адреса в Интернете могли заходить ВСЕ из локальной сети?


P.S.
В любом случаи, Вам надо писать правила в файрволе/НАТ



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
prompt
Сообщения: 23
Зарегистрирован: 06 мар 2019, 17:17

Надо иметь доступ только на три конкретньiе реальние адреса - весь осталной неть надо бьiть недоступен.
На рутере на второго порта есть Wi/Fi рутер линксис, которой работает как AP.Все юзерьi которие конектется на етой wi/fi сеть, могли доступать только три адреса из интернет.


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

prompt писал(а): 19 мар 2019, 13:41 Надо иметь доступ только на три конкретньiе реальние адреса - весь осталной неть надо бьiть недоступен.
Это условие (выше-написанное) более жёсткое, чем ниже.
Поэтому создавайте Address-List с каким-то названием, например Good_Sites, туда помещайте эти Хорошие адреса.
И уже в файрволе создавайте правило, в этом правиле подставляйте созданный адрес лист, и делайте разрешение.
Всё остальное можно для надёжности ещё и запретить.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
prompt
Сообщения: 23
Зарегистрирован: 06 мар 2019, 17:17

А можно пример как сделать всеобший запрет ....


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

prompt писал(а): 19 мар 2019, 15:59 А можно пример как сделать всеобший запрет ....
Немного не типично, но тоже работает.

Код: Выделить всё

/ip firewall nat
<а тут правила, что мы разрешаем сначала и что-то явно (узкое чёткое условие)>
add action=accept chain=srcnat comment="DENY NAT (а этим мы хитрим остальных)"



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
prompt
Сообщения: 23
Зарегистрирован: 06 мар 2019, 17:17

Спасибо с меня пиво


Ответить