исключение из правила firewall

Обсуждение ПО и его настройки
Ответить
the_Mask
Сообщения: 3
Зарегистрирован: 23 май 2017, 16:31

Походу мне в вопросы нуба друзья :men: Может кто нибудь объяснить как делать исключения в правилах ip > firewall. Явным образом, судя по всему, это сделать не получится, т.к. облазил там всё, и не нашёл параметра exception вообще ни где.

Задача в следующем. Есть правило блокирующее соединения с сервером AmmyyAdmin который выдаёт клиенту ID. В это правило нужно добавить исключение для одного единственного узла (компьютер бухов). Не спрашивайте по чему именно AA.exe, и не советуйте альтернатив. Просто скажите как сделать если кто знает. Правило выглядит вот так:

Код: Выделить всё

;;; Block Ammyy ID
      chain=forward action=drop dst-address=176.56.184.37 log=no log-prefix=""


Буду признателен за помощь или подсказку.


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

1) засуньте айпи бухгалтера в какой то адрес-лист (скажем AllowAmmyID)
2) и в вашем текущем правиле, на закладке Advanced, в поле Dst.Addres List выберите этот адрес лист из списка и ВНИМАНИЕ рядом
с названием адрес-листа (слева) поставьте (щёлкните) по квадратику, появиться ! знак, который трактует использование листов наоборот.
И получиться так, что всем описанным сетям (что у Вас указаны в закладке General) - запретить, кроме списка и соответственно кроме адреса в этом списке.

(надеюсь я понял Ваше желание правильно и мой совет поможет).



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
the_Mask
Сообщения: 3
Зарегистрирован: 23 май 2017, 16:31

Благодарю. Вчера сделал вот так:

Код: Выделить всё

;;; Al[/quote]low Ammyy_ID for GlavBUH
      chain=forward action=accept src-address=192.168.0.155 
      dst-address=176.56.184.37 log=no log-prefix=""


Всё работает. Один узел получает ID, все остальные не могут установить соединение с сервером.


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

the_Mask писал(а):Благодарю. Вчера сделал вот так:

Код: Выделить всё

;;; Al[/quote]low Ammyy_ID for GlavBUH
      chain=forward action=accept src-address=192.168.0.155 
      dst-address=176.56.184.37 log=no log-prefix=""

Всё работает. Один узел получает ID, все остальные не могут установить соединение с сервером.

Но Вы не применили адрес-лист и тем более не воспользовались исключением.
Ваше правило вышенаписанное можно прочитать так, что все проходящие пакеты с адресом
192.168.0.155 на адрес 176.56.184.37 разрешить. То есть Вы формально описали явно работать одной машине.
По идеи, после такова правила надо писать уже второе правило - где закрывается для всей локальной
сети доступ на адрес 176.56.184.37.
То есть сами пытались и тратили время, просили подсказку и я Вам дал, но Вы её даже не попытались использовать.
Эх.. :sh_ok:

Чтож, придётся сделать за Вас это, вот в рамках одного правила с сетями и с адрес-листом работающим в формате исключения :mi_ga_et:

Код: Выделить всё

/ip firewall address-list
add address=192.168.0.155 list=Allow_Ammyy_ID

/ip firewall filter
add action=drop chain=forward dst-address=176.56.184.37 src-address=192.168.0.0/24 src-address-list=!Allow_Ammyy_ID

Правило читается так, что любой запрос с локальной сети (с 192.168.0.0/24) на адрес 176.56.184.37 - будет отвергнут, кроме
адреса помещенного в адрес-лист Allow_Ammyy_ID



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
the_Mask
Сообщения: 3
Зарегистрирован: 23 май 2017, 16:31

Сорян. Не хотел никого обидеть. Очень срочно нужно было решение, по этому не дождался ответа. Спасибо за подсказку, я обязательно ей воспользуюсь (изменю правило).


Ответить