Запрет интернета и видео

Обсуждение ПО и его настройки
Ответить
Stas788
Сообщения: 66
Зарегистрирован: 18 окт 2017, 01:43

Привет!

Есть Mikrotik RB951ui-ND и требуется запретить интернет и просмотр видео, что-либо скачивать из интернета и т.п. оставить доступ только к:
1. сервер обновлений Микротик.
2. фтп сервер 88.225.123.12
3. сервер ofd.ru
4. сервер 1с

понимаю, что это как-то должно реализовываться в фаерволе с натом, но как не могу понять. Текущая конфигурация фаервола и ната такая:

/ip firewall filter
add action=accept chain=input dst-port=8291 in-interface=tap1-wan protocol=\
tcp
add action=accept chain=forward
add action=accept chain=input protocol=icmp
add action=accept chain=input connection-state=established,related
add action=drop chain=input in-interface=tap1-wan
add action=fasttrack-connection chain=forward connection-state=\
established,related
add action=accept chain=forward connection-state=established,related
add action=drop chain=forward connection-state=invalid
add action=drop chain=forward connection-nat-state=!dstnat connection-state=\
new in-interface=tap1-wan
add action=drop chain=input in-interface=tap1-wan
/ip firewall nat
add action=masquerade chain=srcnat out-interface=tap1-wan
add action=netmap chain=dstnat dst-port=5900 in-interface=tap1-wan protocol=\
tcp to-addresses=192.168.88.2 to-ports=5900
add action=netmap chain=dstnat dst-port=8291 in-interface=tap1-wan protocol=\
tcp to-addresses=192.168.88.1 to-ports=8291
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www-ssl disabled=no
set api disabled=yes
set api-ssl disabled=yes


Stas788
Сообщения: 66
Зарегистрирован: 18 окт 2017, 01:43

т.е. мне нужно прописать правило запрещающее все и 4-ре правила разрешающие внешние ip с их портами.... Как это сделать?


Аватара пользователя
Dragon_Knight
Сообщения: 1724
Зарегистрирован: 26 мар 2012, 18:21
Откуда: МО, Мытищи
Контактная информация:

Всё вышеперечисленное засунуть в адрес-лист (именно домены) и дропать всё, что имеет адрес назначение != этому адрес-листу.


Небольшой свод правил логики и ссылок:
  1. Если устройство имеет Ethernet порт, то оно обязано быть подключено через него. Компьютер, Ноутбук, Телевизор, Принтер, Камера видеонаблюдения, и т.д.
  2. Если нет возможности протянуть кабель, то найдите её, или страдайте со своими проблемами Wi-Fi дальше.
  3. Wi-Fi это сеть для мобильных устройств. Если Вы подключили свой шикарный 50" телевизор не кабелем, то без фотоотчёта, когда он лежит у Вас в кармане дальнейшего разговора не получиться. Это относится и ко всем остальным устройствам.
  4. Если Ваше устройство вызывает вопросы в работе, первое что необходимо делать: NetInstall + дальнейшая настройка вручную.
  5. Не используйте WebFig или QuickSet - это пути к глюкам и ошибкам. Только SSH или WinBox, и да, - WinBox есть под Android.
  6. name.rsc - это текстовый файл, и Вы можете его открыть блокнотом.
  7. Если Вы хотите связаться со мной для ремонта или настройки, то: Telegram ( Не благотворительность ).
  8. Мой сайт по Mikrotik: Global Zone >> MikroTik.
Ответить