Всем привет!
Дано: Mikrotik RB3011UiAS прошивка v6.47.7 (stable) + Wireguard-сервер на DigitalOcean.
Задача:
1. Настроить firewall на микротике таким образом, чтобы пользователи без активного VPN не имели доступ в интернет средствами браузеров.
2. Закрыть доступ, силами микротика, к некоторым стриминговым платформам(twitch, youtube, rutube).
Реальность: Доступ в интернет закрыл простым правилом:
Код: Выделить всё
/ip firewall filter
add action=reject chain=forward protocol=tcp reject-with=tcp-reset
То есть, у всех кто сидит без VPN, будут дропнуты попытки захода на сайты по tcp.
Далее. Из-за того, что VPN-сервер находится не на микротике, все правила firewall не распространяются на клиентские машины с активным VPN. По идее, если бы не было VPN, можно было бы ограничиться к примеру правилами типа:
Код: Выделить всё
/ip firewall filter
add action=reject chain=forward content=youtube.com protocol=tcp \
reject-with=tcp-reset
но как вы уже поняли, эти правила не работают.
Вопрос: как заставить VPN следовать правилам firewall на микротике? Может быть эту задачу можно решить другими способами? Буду рад любой помощи
Код: Выделить всё
# nov/16/2020 12:41:43 by RouterOS 6.47.7
# software id = F6TA-D857
#
# model = RB3011UiAS
# serial number = B8950C342130
/ip firewall filter
add action=reject chain=forward content=www.youtube.com protocol=tcp \
reject-with=tcp-reset
add action=reject chain=forward content=ivi.ru protocol=tcp reject-with=\
tcp-reset
add action=reject chain=forward content=rutube.ru protocol=tcp \
reject-with=tcp-reset
add action=reject chain=forward content=vk.com protocol=tcp reject-with=\
tcp-reset
add action=reject chain=forward content=vimeo.com protocol=tcp \
reject-with=tcp-reset
add action=reject chain=forward protocol=tcp reject-with=tcp-reset
/ip firewall mangle
add action=mark-routing chain=prerouting connection-mark=isp1-conn \
new-routing-mark=isp1-rt passthrough=yes src-address=10.20.1.0/24
add action=mark-routing chain=prerouting connection-mark=isp2-conn \
new-routing-mark=isp2-rt passthrough=yes src-address=10.20.2.0/24
add action=mark-connection chain=forward in-interface=ether1 \
new-connection-mark=isp1-conn passthrough=yes
add action=mark-connection chain=forward in-interface=pppoe-out1 \
new-connection-mark=isp2-conn passthrough=yes
/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1
add action=masquerade chain=srcnat out-interface=pppoe-out1