Доброго времени суток, столкнулся с проблемой при запрете проходящего трафика.
В общем, цель задачи: заблокировать доступ цели ко всем ресурсам, кроме впн сети, офд и радио.
Сделал следующее:
Добавил в ip address lists "ournets" адреса сетей, куда будем разрешать доступ.
Далее создал правило add action=drop chain=forward src-address=192.168.92.21 protocol=tcp dst-port=!8000,8001,9000 dst-address-list=!ournets
В общем доступ запрещен, работает ОФД + впн сети, но не работает радио, сайт открывается но плеер не запускается) хелп
Выборочная блокировка траффика
-
- Модератор
- Сообщения: 3605
- Зарегистрирован: 26 сен 2013, 14:20
- Откуда: НСК
- Контактная информация:
ну так создайте логирующее в тех же фильтрах в цепочке форварт правило и посмотрите куда оно еще ломится и разрешите
Есть интересная задача и бюджет? http://mikrotik.site
- podarok66
- Модератор
- Сообщения: 4360
- Зарегистрирован: 11 фев 2012, 18:49
- Откуда: МО
Как правило, на многих ресурсах потоковые сервисы расположены на других серверах и имеют совсем другие ip-адреса. А к доменным именам не имеют отношения и не резолвятся. Надо выяснять, с каких адресов идет поток, и вносить разрешения в адрес-листы.
Я как-то давно делал для кого-то запрет на всю сеть, кроме пары-тройки сайтов иVK в том числе. Обязательным условием было, чтобы музыка VK работала. Так вот, именно с этой ерундой и столкнулся. Но так как надо было всё сделать срочно, ещё позавчера, и товарищ проявлял не просто нетерпение, а признаки истерики, я вычислил просто один адрес из потока и внёс в список целый пул. 95.142.205.0/24, если не ошибаюсь. Поток пошёл, запреты работали, а на то, что с потоком будет доступно ещё какое-то число сайтов, никто не пожаловался. Видимо, не сложился у них пазл. С тех пор пока ничего не менял у него в этом плане, хотя бываю там периодически.
Я как-то давно делал для кого-то запрет на всю сеть, кроме пары-тройки сайтов иVK в том числе. Обязательным условием было, чтобы музыка VK работала. Так вот, именно с этой ерундой и столкнулся. Но так как надо было всё сделать срочно, ещё позавчера, и товарищ проявлял не просто нетерпение, а признаки истерики, я вычислил просто один адрес из потока и внёс в список целый пул. 95.142.205.0/24, если не ошибаюсь. Поток пошёл, запреты работали, а на то, что с потоком будет доступно ещё какое-то число сайтов, никто не пожаловался. Видимо, не сложился у них пазл. С тех пор пока ничего не менял у него в этом плане, хотя бываю там периодически.
Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
-
- Сообщения: 58
- Зарегистрирован: 16 авг 2018, 13:46
Суть уловил)podarok66 писал(а): ↑26 дек 2018, 21:07 Как правило, на многих ресурсах потоковые сервисы расположены на других серверах и имеют совсем другие ip-адреса. А к доменным именам не имеют отношения и не резолвятся. Надо выяснять, с каких адресов идет поток, и вносить разрешения в адрес-листы.
Я как-то давно делал для кого-то запрет на всю сеть, кроме пары-тройки сайтов иVK в том числе. Обязательным условием было, чтобы музыка VK работала. Так вот, именно с этой ерундой и столкнулся. Но так как надо было всё сделать срочно, ещё позавчера, и товарищ проявлял не просто нетерпение, а признаки истерики, я вычислил просто один адрес из потока и внёс в список целый пул. 95.142.205.0/24, если не ошибаюсь. Поток пошёл, запреты работали, а на то, что с потоком будет доступно ещё какое-то число сайтов, никто не пожаловался. Видимо, не сложился у них пазл. С тех пор пока ничего не менял у него в этом плане, хотя бываю там периодически.
-
- Сообщения: 58
- Зарегистрирован: 16 авг 2018, 13:46
-
- Модератор
- Сообщения: 3605
- Зарегистрирован: 26 сен 2013, 14:20
- Откуда: НСК
- Контактная информация:
-
- Сообщения: 58
- Зарегистрирован: 16 авг 2018, 13:46
91.108.34.0/24pin писал(а): ↑27 дек 2018, 10:21Суть уловил)podarok66 писал(а): ↑26 дек 2018, 21:07 Как правило, на многих ресурсах потоковые сервисы расположены на других серверах и имеют совсем другие ip-адреса. А к доменным именам не имеют отношения и не резолвятся. Надо выяснять, с каких адресов идет поток, и вносить разрешения в адрес-листы.
Я как-то давно делал для кого-то запрет на всю сеть, кроме пары-тройки сайтов иVK в том числе. Обязательным условием было, чтобы музыка VK работала. Так вот, именно с этой ерундой и столкнулся. Но так как надо было всё сделать срочно, ещё позавчера, и товарищ проявлял не просто нетерпение, а признаки истерики, я вычислил просто один адрес из потока и внёс в список целый пул. 95.142.205.0/24, если не ошибаюсь. Поток пошёл, запреты работали, а на то, что с потоком будет доступно ещё какое-то число сайтов, никто не пожаловался. Видимо, не сложился у них пазл. С тех пор пока ничего не менял у него в этом плане, хотя бываю там периодически.
- podarok66
- Модератор
- Сообщения: 4360
- Зарегистрирован: 11 фев 2012, 18:49
- Откуда: МО
Ну вот и ладушки. С Новым годом Вас!
Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...