Здравствуйте!
Подскажите пожалуйста как через микротик заблокировать весь исходящий трафик на конкретном сервере
Само собой оставить доступ только по RDP к нему.
Спасибо!
Блокировка исходящего трафика
-
- Сообщения: 54
- Зарегистрирован: 24 апр 2020, 14:02
Добрый день.
Посмотрите в сторону DMZ.
Посмотрите в сторону DMZ.
-
- Сообщения: 6
- Зарегистрирован: 05 июл 2020, 21:08
-
- Сообщения: 132
- Зарегистрирован: 11 янв 2019, 14:48
Вообще делают так:HattoriHanzo писал(а): ↑05 июл 2020, 21:24 Здравствуйте!
Подскажите пожалуйста как через микротик заблокировать весь исходящий трафик на конкретном сервере
Само собой оставить доступ только по RDP к нему.
Спасибо!
в цепочке forward делаете разрешающее правило ( правила) для списка (списков) src адресов.
ниже блокировка всего forward-a.
Затем просто добавляйте нужный адрес кому нужен интернет в лист и всё.
-
- Сообщения: 6
- Зарегистрирован: 05 июл 2020, 21:08
да, спасибо! В целом что-то похоже и сделал из серии - scr.adress - forward - dropimaoskol писал(а): ↑06 июл 2020, 09:49Вообще делают так:HattoriHanzo писал(а): ↑05 июл 2020, 21:24 Здравствуйте!
Подскажите пожалуйста как через микротик заблокировать весь исходящий трафик на конкретном сервере
Само собой оставить доступ только по RDP к нему.
Спасибо!
в цепочке forward делаете разрешающее правило ( правила) для списка (списков) src адресов.
ниже блокировка всего forward-a.
Затем просто добавляйте нужный адрес кому нужен интернет в лист и всё.
Браузер перестал выходить в интернет:) уже радует.
Я же правильно понимаю что теперь ни один пакет не уйдет куда-то?
-
- Сообщения: 132
- Зарегистрирован: 11 янв 2019, 14:48
Запрещать для одного адреса не совсем правильно.HattoriHanzo писал(а): ↑06 июл 2020, 10:02да, спасибо! В целом что-то похоже и сделал из серии - scr.adress - forward - dropimaoskol писал(а): ↑06 июл 2020, 09:49Вообще делают так:HattoriHanzo писал(а): ↑05 июл 2020, 21:24 Здравствуйте!
Подскажите пожалуйста как через микротик заблокировать весь исходящий трафик на конкретном сервере
Само собой оставить доступ только по RDP к нему.
Спасибо!
в цепочке forward делаете разрешающее правило ( правила) для списка (списков) src адресов.
ниже блокировка всего forward-a.
Затем просто добавляйте нужный адрес кому нужен интернет в лист и всё.
Браузер перестал выходить в интернет:) уже радует.
Я же правильно понимаю что теперь ни один пакет не уйдет куда-то?
Обычно делается по другому: запрещается всё, а разрешается нужное.
-
- Сообщения: 6
- Зарегистрирован: 05 июл 2020, 21:08
Да, я вас понял. мой вариант это скорее всего был как быстрый "костыль"imaoskol писал(а): ↑06 июл 2020, 10:09Запрещать для одного адреса не совсем правильно.HattoriHanzo писал(а): ↑06 июл 2020, 10:02да, спасибо! В целом что-то похоже и сделал из серии - scr.adress - forward - drop
Браузер перестал выходить в интернет:) уже радует.
Я же правильно понимаю что теперь ни один пакет не уйдет куда-то?
Обычно делается по другому: запрещается всё, а разрешается нужное.
Тогда еще такой вопрос, как убедится в том что трафик "во вне" вообще не выходит с сервера?
-
- Сообщения: 132
- Зарегистрирован: 11 янв 2019, 14:48
Как убедиться, ничего не работает чему нужно в инет ходить))HattoriHanzo писал(а): ↑06 июл 2020, 10:21Да, я вас понял. мой вариант это скорее всего был как быстрый "костыль"imaoskol писал(а): ↑06 июл 2020, 10:09Запрещать для одного адреса не совсем правильно.HattoriHanzo писал(а): ↑06 июл 2020, 10:02
да, спасибо! В целом что-то похоже и сделал из серии - scr.adress - forward - drop
Браузер перестал выходить в интернет:) уже радует.
Я же правильно понимаю что теперь ни один пакет не уйдет куда-то?
Обычно делается по другому: запрещается всё, а разрешается нужное.
Тогда еще такой вопрос, как убедится в том что трафик "во вне" вообще не выходит с сервера?
У вас правило Drop для одного адреса сделано.... Поставьте птичку Log и смотрите в логе будут Дропы отображаться
-
- Сообщения: 1199
- Зарегистрирован: 29 сен 2011, 09:16
Код: Выделить всё
/ip firewall filter
add action=drop chain=forward connection-state=new out-interface="wan interface" src-address="target server ip"
-
- Сообщения: 6
- Зарегистрирован: 05 июл 2020, 21:08
Спасибо Вам огромное!KARaS'b писал(а): ↑06 июл 2020, 11:23Таким правилом будет резаться все что пытается выйти с сервера наружу и создать новое соединение, при этом в рамках уже установленных соединений все будет работать, в том числе и RDP инициатором которого будет клиент.Код: Выделить всё
/ip firewall filter add action=drop chain=forward connection-state=new out-interface="wan interface" src-address="target server ip"