Фильтр доступа в Интернет

Обсуждение ПО и его настройки
Ответить
kzua
Сообщения: 4
Зарегистрирован: 25 май 2020, 09:44

Добрый день!

Необходимо внутренним пользователям фильтровать простейшим образом доступ в Интернет.
Одной группе предоставить неограниченный доступ, а другой группе только к некоторым ресурсам Интернет.
Всем в локальной сети разрешается доступ к ресурсам из группы wgrpTechExpert:
add action=accept chain=forward dst-address-list=wgrpTechExpert src-address=192.168.0.0/23
Для группы локальных пользователей 0grpInetAccessMasq предоставляется неограниченный доступ в Интернет:
add action=accept chain=forward src-address-list=0grpInetAccessMasq
В остальных случаях drop:
add action=drop chain=forward src-address=192.168.0.0/23
В masquerade никаких ограничений нет:
add action=masquerade chain=srcnat out-interface-list=WAN
Такой вариант приемлем?
Возможно вместо forward фильтровать на masquerade?

Код: Выделить всё

/ip firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=forward protocol=icmp
add action=accept chain=forward dst-address-list=wgrpTechExpert src-address=192.168.0.0/23
add action=accept chain=forward src-address-list=0grpInetAccessMasq
add action=drop chain=forward src-address=192.168.0.0/23
add action=accept chain=input comment="defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=accept chain=input in-interface-list=WAN src-address-list=rgrpRemoteAccessIP
add action=accept chain=input src-address-list=0grpAccessIP
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
add action=drop chain=input comment="Drop anything else! # DO NOT ENABLE THIS RULE BEFORE YOU MAKE SURE ABOUT ALL ACCEPT RULES YOU NEED"
/ip firewall nat
add action=masquerade chain=srcnat out-interface-list=WAN


Вернуться к началу
Ответить

Вернуться в «MikroTik RouterOS»