Блокировка исходящего трафика

Обсуждение ПО и его настройки
HattoriHanzo
Сообщения: 6
Зарегистрирован: 05 июл 2020, 21:08

Здравствуйте!

Подскажите пожалуйста как через микротик заблокировать весь исходящий трафик на конкретном сервере

Само собой оставить доступ только по RDP к нему.

Спасибо!


rtfm
Сообщения: 54
Зарегистрирован: 24 апр 2020, 14:02

Добрый день.
Посмотрите в сторону DMZ.


HattoriHanzo
Сообщения: 6
Зарегистрирован: 05 июл 2020, 21:08

rtfm писал(а): 06 июл 2020, 08:16 Добрый день.
Посмотрите в сторону DMZ.
А если как нибудь без DMZ?
Своего рода скр адрес - forward - drop?


imaoskol
Сообщения: 132
Зарегистрирован: 11 янв 2019, 14:48

HattoriHanzo писал(а): 05 июл 2020, 21:24 Здравствуйте!

Подскажите пожалуйста как через микротик заблокировать весь исходящий трафик на конкретном сервере

Само собой оставить доступ только по RDP к нему.

Спасибо!
Вообще делают так:
в цепочке forward делаете разрешающее правило ( правила) для списка (списков) src адресов.
ниже блокировка всего forward-a.
Затем просто добавляйте нужный адрес кому нужен интернет в лист и всё.


HattoriHanzo
Сообщения: 6
Зарегистрирован: 05 июл 2020, 21:08

imaoskol писал(а): 06 июл 2020, 09:49
HattoriHanzo писал(а): 05 июл 2020, 21:24 Здравствуйте!

Подскажите пожалуйста как через микротик заблокировать весь исходящий трафик на конкретном сервере

Само собой оставить доступ только по RDP к нему.

Спасибо!
Вообще делают так:
в цепочке forward делаете разрешающее правило ( правила) для списка (списков) src адресов.
ниже блокировка всего forward-a.
Затем просто добавляйте нужный адрес кому нужен интернет в лист и всё.
да, спасибо! В целом что-то похоже и сделал из серии - scr.adress - forward - drop
Браузер перестал выходить в интернет:) уже радует.
Я же правильно понимаю что теперь ни один пакет не уйдет куда-то?


imaoskol
Сообщения: 132
Зарегистрирован: 11 янв 2019, 14:48

HattoriHanzo писал(а): 06 июл 2020, 10:02
imaoskol писал(а): 06 июл 2020, 09:49
HattoriHanzo писал(а): 05 июл 2020, 21:24 Здравствуйте!

Подскажите пожалуйста как через микротик заблокировать весь исходящий трафик на конкретном сервере

Само собой оставить доступ только по RDP к нему.

Спасибо!
Вообще делают так:
в цепочке forward делаете разрешающее правило ( правила) для списка (списков) src адресов.
ниже блокировка всего forward-a.
Затем просто добавляйте нужный адрес кому нужен интернет в лист и всё.
да, спасибо! В целом что-то похоже и сделал из серии - scr.adress - forward - drop
Браузер перестал выходить в интернет:) уже радует.
Я же правильно понимаю что теперь ни один пакет не уйдет куда-то?
Запрещать для одного адреса не совсем правильно.
Обычно делается по другому: запрещается всё, а разрешается нужное.


HattoriHanzo
Сообщения: 6
Зарегистрирован: 05 июл 2020, 21:08

imaoskol писал(а): 06 июл 2020, 10:09
HattoriHanzo писал(а): 06 июл 2020, 10:02
imaoskol писал(а): 06 июл 2020, 09:49

Вообще делают так:
в цепочке forward делаете разрешающее правило ( правила) для списка (списков) src адресов.
ниже блокировка всего forward-a.
Затем просто добавляйте нужный адрес кому нужен интернет в лист и всё.
да, спасибо! В целом что-то похоже и сделал из серии - scr.adress - forward - drop
Браузер перестал выходить в интернет:) уже радует.
Я же правильно понимаю что теперь ни один пакет не уйдет куда-то?
Запрещать для одного адреса не совсем правильно.
Обычно делается по другому: запрещается всё, а разрешается нужное.
Да, я вас понял. мой вариант это скорее всего был как быстрый "костыль"
Тогда еще такой вопрос, как убедится в том что трафик "во вне" вообще не выходит с сервера?


imaoskol
Сообщения: 132
Зарегистрирован: 11 янв 2019, 14:48

HattoriHanzo писал(а): 06 июл 2020, 10:21
imaoskol писал(а): 06 июл 2020, 10:09
HattoriHanzo писал(а): 06 июл 2020, 10:02

да, спасибо! В целом что-то похоже и сделал из серии - scr.adress - forward - drop
Браузер перестал выходить в интернет:) уже радует.
Я же правильно понимаю что теперь ни один пакет не уйдет куда-то?
Запрещать для одного адреса не совсем правильно.
Обычно делается по другому: запрещается всё, а разрешается нужное.
Да, я вас понял. мой вариант это скорее всего был как быстрый "костыль"
Тогда еще такой вопрос, как убедится в том что трафик "во вне" вообще не выходит с сервера?
Как убедиться, ничего не работает чему нужно в инет ходить))
У вас правило Drop для одного адреса сделано.... Поставьте птичку Log и смотрите в логе будут Дропы отображаться


KARaS'b
Сообщения: 1199
Зарегистрирован: 29 сен 2011, 09:16

Код: Выделить всё

/ip firewall filter
add action=drop chain=forward connection-state=new out-interface="wan interface" src-address="target server ip"
Таким правилом будет резаться все что пытается выйти с сервера наружу и создать новое соединение, при этом в рамках уже установленных соединений все будет работать, в том числе и RDP инициатором которого будет клиент.


HattoriHanzo
Сообщения: 6
Зарегистрирован: 05 июл 2020, 21:08

KARaS'b писал(а): 06 июл 2020, 11:23

Код: Выделить всё

/ip firewall filter
add action=drop chain=forward connection-state=new out-interface="wan interface" src-address="target server ip"
Таким правилом будет резаться все что пытается выйти с сервера наружу и создать новое соединение, при этом в рамках уже установленных соединений все будет работать, в том числе и RDP инициатором которого будет клиент.
Спасибо Вам огромное!


Ответить