Страница 1 из 1
исключение из правила firewall
Добавлено: 23 май 2017, 16:55
the_Mask
Походу мне в вопросы нуба друзья
Может кто нибудь объяснить как делать исключения в правилах ip > firewall. Явным образом, судя по всему, это сделать не получится, т.к. облазил там всё, и не нашёл параметра exception вообще ни где.
Задача в следующем. Есть правило блокирующее соединения с сервером AmmyyAdmin который выдаёт клиенту ID. В это правило нужно добавить исключение для одного единственного узла (компьютер бухов). Не спрашивайте по чему именно AA.exe, и не советуйте альтернатив. Просто скажите как сделать если кто знает. Правило выглядит вот так:
Код: Выделить всё
;;; Block Ammyy ID
chain=forward action=drop dst-address=176.56.184.37 log=no log-prefix=""
Буду признателен за помощь или подсказку.
Re: исключение из правила firewall
Добавлено: 23 май 2017, 17:08
Vlad-2
1) засуньте айпи бухгалтера в какой то адрес-лист (скажем AllowAmmyID)
2) и в вашем текущем правиле, на закладке Advanced, в поле Dst.Addres List выберите этот адрес лист из списка и ВНИМАНИЕ рядом
с названием адрес-листа (слева) поставьте (щёлкните) по квадратику, появиться ! знак, который трактует использование листов наоборот.
И получиться так, что всем описанным сетям (что у Вас указаны в закладке General) - запретить, кроме списка и соответственно кроме адреса в этом списке.
(надеюсь я понял Ваше желание правильно и мой совет поможет).
Re: исключение из правила firewall
Добавлено: 24 май 2017, 10:51
the_Mask
Благодарю. Вчера сделал вот так:
Код: Выделить всё
;;; Al[/quote]low Ammyy_ID for GlavBUH
chain=forward action=accept src-address=192.168.0.155
dst-address=176.56.184.37 log=no log-prefix=""
Всё работает. Один узел получает ID, все остальные не могут установить соединение с сервером.
Re: исключение из правила firewall
Добавлено: 24 май 2017, 11:10
Vlad-2
the_Mask писал(а):Благодарю. Вчера сделал вот так:
Код: Выделить всё
;;; Al[/quote]low Ammyy_ID for GlavBUH
chain=forward action=accept src-address=192.168.0.155
dst-address=176.56.184.37 log=no log-prefix=""
Всё работает. Один узел получает ID, все остальные не могут установить соединение с сервером.
Но Вы не применили адрес-лист и тем более не воспользовались исключением.Ваше правило вышенаписанное можно прочитать так, что все проходящие пакеты с адресом
192.168.0.155 на адрес 176.56.184.37 разрешить. То есть Вы формально описали явно работать одной машине.
По идеи, после такова правила надо писать уже второе правило - где закрывается для всей локальной
сети доступ на адрес 176.56.184.37.
То есть сами пытались и тратили время, просили подсказку и я Вам дал, но Вы её даже не попытались использовать.
Эх..
Чтож, придётся сделать за Вас это, вот в рамках одного правила с сетями и с адрес-листом работающим в формате исключения
Код: Выделить всё
/ip firewall address-list
add address=192.168.0.155 list=Allow_Ammyy_ID
/ip firewall filter
add action=drop chain=forward dst-address=176.56.184.37 src-address=192.168.0.0/24 src-address-list=!Allow_Ammyy_ID
Правило читается так, что любой запрос с локальной сети (с 192.168.0.0/24) на адрес 176.56.184.37 - будет отвергнут, кроме
адреса помещенного в адрес-лист Allow_Ammyy_ID
Re: исключение из правила firewall
Добавлено: 16 июл 2017, 20:28
the_Mask
Сорян. Не хотел никого обидеть. Очень срочно нужно было решение, по этому не дождался ответа. Спасибо за подсказку, я обязательно ей воспользуюсь (изменю правило).