Добрый день, друзья! Помогите решить проблему, у меня в фаерволе имеется три основных правила:
/ip firewall filter
add chain=input connection-state=invalid action=drop comment="drop invalid connections"
add chain=input connection-state=related action=accept comment="allow related connections"
add chain=input connection-state=established action=accept comment="allow established connections"
add chain=input action=drop comment="drop everything else" in-interface=ether1-gateway
+ маскарадинг в НАТе.
Интернет вроде работает.
Далее создаю адресс лист white_list с двумя ip адресами моего компа и второго сотрудника.
создаю следующее правило:
add chain=forward action=reject reject-with=tcp-reset protocol=tcp src-address-list=!white_list content=vk.com
Пробую зайти с любых компов - VK не работает. Пробую зайти со своих компов, из белого списка, открывается только страница vk.com/feed и то, раз-через-раз. Ни одна другая вкладка не открывается.
Подскажите, как настроить список исключений, чтобы правило не действовало на несколько ip в сети?
PS: У меня router os x86 на компе с двумя сетевыми картами, одна на провайдера, вторая в локальную сеть.
версия os: 6.34.2
Проблемы с блокировкой vk.com
-
- Модератор
- Сообщения: 3290
- Зарегистрирован: 01 окт 2012, 14:48
Попробуйте двумя правилами:
сначала для бело листа accept,
а потом второе правило для все остальных reject.
Разрешающее должно быть выше запрещающего.
А вообще-то VK открывается, если все эти правила убрать, может какие другие проблемы???
сначала для бело листа accept,
а потом второе правило для все остальных reject.
Разрешающее должно быть выше запрещающего.
А вообще-то VK открывается, если все эти правила убрать, может какие другие проблемы???
-
- Модератор
- Сообщения: 3290
- Зарегистрирован: 01 окт 2012, 14:48
Да, забыл, а зачем reject??? Drop!!!
- Mapcer
- Сообщения: 38
- Зарегистрирован: 25 фев 2016, 08:16
gmx писал(а):Да, забыл, а зачем reject??? Drop!!!
Когда ставишь Дроп, то браузер у клиентов долго думает, крутит там, ждет...
А когда реджект и тсп сброс, то шлюз отвечает на зпрос отказом, и браузер моментально показывает клиенту, что страница недоступна.
По поводу двух правил, я сейчас попробую, позже отпишусь.
ps: без блокировок сайт прекрасно открывается, и все работает.
- Mapcer
- Сообщения: 38
- Зарегистрирован: 25 фев 2016, 08:16
Изменил правило блокировки и создал новое с разрешением для белого листа, вот что получилось:
Разрешающее правило:
chain=forward action=accept protocol=tcp src-address-list=white_list content=vk.com log=yes log-prefix="vk.allow"
и запрещающее правило:
chain=forward action=reject reject-with=tcp-reset protocol=tcp content=vk.com log=yes log-prefix="vk.reject"
Создание двух правил не помогло. Теперь с компов из white_list не получается зайти в vk.com пишет "Страница не доступна"
Разрешающее правило:
chain=forward action=accept protocol=tcp src-address-list=white_list content=vk.com log=yes log-prefix="vk.allow"
и запрещающее правило:
chain=forward action=reject reject-with=tcp-reset protocol=tcp content=vk.com log=yes log-prefix="vk.reject"
Создание двух правил не помогло. Теперь с компов из white_list не получается зайти в vk.com пишет "Страница не доступна"
-
- Модератор
- Сообщения: 3290
- Зарегистрирован: 01 окт 2012, 14:48
Иными словами запросы компов, которые в белом листе, не попадают под действие разрешающего правила.
Вы уверены, что все правильно написали?
Там у вас еще наверное куча всяких правил в фаерволле, которые перехватывают пакеты раньше.
Вот специально проверил:
add action=drop chain=forward content=vk.com protocol=tcp src-address=192.168.77.115
add chain=forward content=vk.com protocol=tcp src-address=192.168.77.10
Все прекрасно работает.
1. Временно выключите все (!!!) правила фаерволла.
2. Убедитесь, что на компах, которым вы хотите разрешить/запретить шлюзом является микротик.
2. Добавьте два простых правил, как я написал выше (со своими IP) и поверьте.
Ну, а дальше развивайте все это как хотите.
Вы уверены, что все правильно написали?
Там у вас еще наверное куча всяких правил в фаерволле, которые перехватывают пакеты раньше.
Вот специально проверил:
add action=drop chain=forward content=vk.com protocol=tcp src-address=192.168.77.115
add chain=forward content=vk.com protocol=tcp src-address=192.168.77.10
Все прекрасно работает.
1. Временно выключите все (!!!) правила фаерволла.
2. Убедитесь, что на компах, которым вы хотите разрешить/запретить шлюзом является микротик.
2. Добавьте два простых правил, как я написал выше (со своими IP) и поверьте.
Ну, а дальше развивайте все это как хотите.
- Mapcer
- Сообщения: 38
- Зарегистрирован: 25 фев 2016, 08:16
gmx писал(а):Иными словами запросы компов, которые в белом листе, не попадают под действие разрешающего правила.
Вы уверены, что все правильно написали?
Там у вас еще наверное куча всяких правил в фаерволле, которые перехватывают пакеты раньше.
Вот специально проверил:
add action=drop chain=forward content=vk.com protocol=tcp src-address=192.168.77.115
add chain=forward content=vk.com protocol=tcp src-address=192.168.77.10
Все прекрасно работает.
1. Временно выключите все (!!!) правила фаерволла.
2. Убедитесь, что на компах, которым вы хотите разрешить/запретить шлюзом является микротик.
2. Добавьте два простых правил, как я написал выше (со своими IP) и поверьте.
Ну, а дальше развивайте все это как хотите.
Я попробую сделать как вы рекомендуете. Но боюсь проблема в другом. У меня есть одно правило на блокировку Vber в локальной сети, и в правиле стоит !10.10.10.96 (это мой комп) все работает отлично. Но когда требуется исключение более, чем для одного ip, приходится использовать адресс_лист, и вот с ними уже правила не работают.
- Mapcer
- Сообщения: 38
- Зарегистрирован: 25 фев 2016, 08:16
Именно как у вас создал правила, указав только свой ip, все работает, отключаю разрешающее правило - не работает. все как надо.
Далее изменил в этих правилах Src.Address - убрал значение, а в поле Src.Address list = white_list
chain=forward action=accept protocol=tcp src-address-list=white_list content=vk.com
chain=forward action=drop protocol=tcp src-address-list=!white_list content=vk.com
в таком виде правила не работают. То есть, блокируют vk для всех.
PS: все другие правила отключил, кроме трех разрешающих, что указывал в первом посте.
Далее изменил в этих правилах Src.Address - убрал значение, а в поле Src.Address list = white_list
chain=forward action=accept protocol=tcp src-address-list=white_list content=vk.com
chain=forward action=drop protocol=tcp src-address-list=!white_list content=vk.com
в таком виде правила не работают. То есть, блокируют vk для всех.
PS: все другие правила отключил, кроме трех разрешающих, что указывал в первом посте.
-
- Модератор
- Сообщения: 3290
- Зарегистрирован: 01 окт 2012, 14:48
Попробуйте удалить и создать лист заново.
- Mapcer
- Сообщения: 38
- Зарегистрирован: 25 фев 2016, 08:16
gmx писал(а):Попробуйте удалить и создать лист заново.
Вечером переустановлю все настройки.
Попробуйте у себя создать правила с использованием адресс_листа. Будет у вас работать?
chain=forward action=accept protocol=tcp src-address-list=white_list content=vk.com
chain=forward action=drop protocol=tcp src-address-list=!white_list content=vk.com