KARaS'b писал(а):Или вы меня не правильно поняли, или вы сейчас не правильно выразились и я не правильно понял вас, но на всякий случай уточню, это не просто исключение, это правило и блокирует ваши ресурсы и оно же разрешает необходимым компам посещать их, оно заменяет все то, чем вы блокировали и пытались разрешить, то есть вообще других правил по блокировке или разрешению соц сетей или иных нежелательных ресурсов не нужно, достаточно только его и в дальнейшем достаточно убирать и добавлять из определенных листов определенные ресурсы и компы что бы изменять возможность доступа определенных людей и определенных ресурсов.
Мы друг друга прекрасно поняли. В итоге мне и нужно было соц. сети для всех заблокировать и дать исключения для посещения соц. сетей определенной группе компов.
Вот так сейчас у меня выглядит FireWall
/ip firewall filter
add action=drop chain=input comment="drop invalid connections" connection-state=invalid
add action=reject chain=forward comment="Block social seti and list isclyuchenii" dst-address-list=soc_block protocol=tcp \reject-with=tcp-reset src-address-list=!MembersGroupALL_Allows
add action=drop chain=input dst-port=53 in-interface=2WanMTSOsn protocol=udp
add action=accept chain=input comment="allow established connections" connection-state=established
add action=accept chain=input comment="allow related connections" connection-state=related
add action=accept chain=input comment=Connect_to_winbox_HOME connection-state=new dst-port=8291 protocol=tcp src-address=\xxx.xxx.xxx.xxx
add action=drop chain=input comment="drop everything else" in-interface=2WanMTSOsn
Мне только одно еще интересно, нужно ли мне правило которое блокирует 53 порт
add action=drop chain=input dst-port=53 in-interface=2WanMTSOsn protocol=udp
так как в IP-DNS у меня не стоит галка Allow Remote Requests???