Страница 1 из 2
Прошу помощи с файерволлом
Добавлено: 10 янв 2013, 13:15
Indy
Приветствую!
Столкнулся с небольшой проблемой, голову сломал уже над ее разрешением
Дано: сеть 10.0.0.0, мой участок занимает в ней диапазон 10.41.0.0/18
Хотспот живет в выделенном вилане, 10.41.224/21
Маршрутизатор в моем сегменте - 10.41.0.100
Нужно чтоб клиенты 224 вилана могли свободно идти в инет, а так же видели некоторые адреса в сети 10.41.0.0/18
Вся остальная сеть 10.0.0.0 им должна быть недоступна
Были заведены два адрес-листа Deny Office Network и Allow Office Network
Правилом
/ ip firewall filter add chain=forward src-address-list=Deny Office Network action=drop comment="Deny Office Network" disabled=no
Я перекрыл всю десятую сеть
Вопрос - какие теперь в файерволл добавить правила, разрешающие всем пользователям доступ к шлюзу и к некоторым адресам, входящим в Allow Office Network?
Re: Прошу помощи с файерволлом
Добавлено: 10 янв 2013, 13:49
simpl3x
из контекста не ясно, что такое Deny Office Network
Правилом
/ ip firewall filter add chain=forward src-address-list=Deny Office Network action=drop comment="Deny Office Network" disabled=no
эта фраза предполагает что вы закрыли доступ ОТ списка Deny Office Network
НО
Я перекрыл всю десятую сеть
говорит о том, что Deny Office Network это 10.0.0.0/8, или я чего то не понимаю. в любом случае, я бы сделал так:
Код: Выделить всё
/ip firewall filter add chain=forward src-address=10.41.224.0/21 dst-address-list="Allow Office Network" action=accept comment="Allow Office Network" disabled=no
/ip firewall filter add chain=forward src-address=10.41.224.0/21 dst-address=10.41.0.100 action=accept comment="Allow GW" disabled=no
/ip firewall filter add chain=forward src-address=10.41.224.0/21 dst-address=10.0.0.0/8 action=drop comment="Deny 10.0.0.0/8" disabled=no
/ip firewall filter add chain=forward src-address=10.41.224.0/21 action=drop comment="Allow another routing 0.0.0.0/0" disabled=no
1. резрешает "а так же видели некоторые адреса в сети 10.41.0.0/18"
2. разрешает "разрешающие всем пользователям доступ к шлюзу" "10.41.0.100"
3. запрещает "Вся остальная сеть 10.0.0.0 им должна быть недоступна"
4. разрешает весь остальной роутинг =) чтобы жилось в интернете.
Re: Прошу помощи с файерволлом
Добавлено: 10 янв 2013, 22:43
Indy
Спасибо большое!
только один нюанс
точно так?
/ip firewall filter add chain=forward src-address=10.41.224.0/21 action=drop comment="Allow another routing 0.0.0.0/0" disabled=no
4. разрешает весь остальной роутинг =) чтобы жилось в интернете.
Может всё таки
/ip firewall filter add chain=forward src-address=10.41.224.0/21 action=accept comment="Allow another routing 0.0.0.0/0" disabled=no
?
Re: Прошу помощи с файерволлом
Добавлено: 10 янв 2013, 23:55
Indy
И еще, так сказать - последний штрих на данном этапе - а вдруг умеет как то
Пользовтаелям хотспота суточный лимит потребляемого трафика будет ограничен. Ибо канал не резиновый, а спутниковый.
Есть ли возможность не учитывать трафик, потребляемый клиентами с сети 10.0.0.0/8, то есть из группы Allow Office Network?
PS: обход сделал с помощью Walled Garden. Но это если не аутентифицировать пользователя.. А аутентифицированных ... надо попробовать перемаркировку пакетов сделать.. наверное..
Re: Прошу помощи с файерволлом
Добавлено: 11 янв 2013, 07:12
simpl3x
Indy, да, copy-paste не сработал =)
а пустить пользователей мимо хот спот? или сделать им другой профиль пользователя, с другими квотами? или пустить их на другой хот спот?
Re: Прошу помощи с файерволлом
Добавлено: 11 янв 2013, 07:29
Indy
Мммм... тут будет как.. если не логинить и через валлед-гарден - то всё ок, траффик не считается
Но поскольку лишнее движение мышкой для среднестатистического юзера - это головная боль, то пытаемся минимизировать им эти телодвижения, исходим из того, что пользователь будет всегда залогинен на хотспот
Ну, в крайнем случае - до нужных сервером пробросим нужный вилан и сетевую карту в 224 сеть, благо всё виртуализовано, никаких проблем с этим не будет. Если я правильно понимаю - внутри 10.41.224.0/21 трафик у пользователей не должен же считаться, так как он минуя хотспот идти будет, так?
Re: Прошу помощи с файерволлом
Добавлено: 11 янв 2013, 10:46
simpl3x
Но поскольку лишнее движение мышкой для среднестатистического юзера - это головная боль, то пытаемся минимизировать им эти телодвижения, исходим из того, что пользователь будет всегда залогинен на хотспот
Ну, в крайнем случае - до нужных сервером пробросим нужный вилан и сетевую карту в 224 сеть, благо всё виртуализовано, никаких проблем с этим не будет.
ну так и пустите его мимо hotspot, если ему мышкой двигать лень.
Если я правильно понимаю - внутри 10.41.224.0/21 трафик у пользователей не должен же считаться, так как он минуя хотспот идти будет, так?
ну из тех настроек что я написал выше, это не очевидный вывод. все будет зависеть от того, как эти правила будут расположены относительно правил авторизации. вы можете например 1,2,3 поставить перед правилами хотспот, а 4 вообще убрать. четких правил в этом нет, главное не ошибиться с порядком правил.
Re: Прошу помощи с файерволлом
Добавлено: 11 янв 2013, 22:46
Indy
Понял, спасибо
Будем экспериментировать
Re: Прошу помощи с файерволлом
Добавлено: 27 фев 2013, 08:14
Indy
Умеет ли микротик организовывать блэк и вайт листы по портам? Чтоб не рисовать на каждую группу пользователей одинаковые правила, а создать 2 списка (разрешенных и запрещенных) и юзать их в файерволле по надобности?
Re: Прошу помощи с файерволлом
Добавлено: 27 фев 2013, 15:08
gmx
Если речь про IP адреса то может, смотрите вкладку Address Lists.