Раздача инета группам пользователей.

[tekirinkaari]

Код: Выделить всё

[tekirinkaari@MikroTik] > ip firewall nat print
Flags: X - disabled, I - invalid, D - dynamic 
 0   chain=srcnat action=masquerade out-interface=WAN_sfp 

Сейчас у меня одно правило: инет всем и каждому.
Хотелось бы инет запретить всем, кроме тех, кто находится в группах. И на каждую группу свои условия раздачи.
условно есть 6 групп пользователей.
1. Нужен выход в инет только по 443 порту
2. полный доступ
3. только по 25,110 портам (можно объединить с п.1, не критично)
4. доступ на всё, кроме инета через браузер (80,8080 порты, либо запрет на http. Не знаю как грамотней будет)
5. доступ к 25, 110, 80, 8080, но есть ограничение по сайтам, например vk.com и др.
6. запрет на всё, кроме определённых сайтов.

сеть 192.168.1.0/22

просто надо настроить быстро, а сижу, пытаюсь разобраться в мануалах и ничего не получается, для меня, пока ещё, nat и firewall лес тёмный, а время идёт. Не успеваю.

[iSupport]

я вам посоветую читать мануалы в сторону /ip firewall adress list

это адрес листы. выглядит примерно так

делаем 6 адресс листов по вашему желанию

дальше делаем правила фильтрации файерволла для каждого адресс листа

после этого распихиваем пользователей по адресс листам (то есть ип адреса распределяем по группам)

Если заморочится - можно сделать еще и Hotspot-авторизацию по логину-паролю и там запихивать пользователей в адресс-листы динамически
то есть если менеджеру Васе урезаны права, а админу надо что-то обновить (например найти и поставить дрова на принтер) то админ заходит под своей учеткой и микротик
динамически распределяет комп Васи в адресс-лист для Админов с полным доступом, пока админ не разлогинится

такая чтука интереснее и удобнее. Раздать всем пароли = и вперед.

[tekirinkaari]

не... если пароли раздать, то пользователи не поймут. Они каждый раз нервничают, когда в систему входят, потом в 1с, умудряются путаться... Так что обойдусь.
В любом случае создать виртуальный терминальный комп с доступом в инет не трудно.

[tekirinkaari]

Код: Выделить всё

[tekirinkaari@MikroTik] > ip firewall address  print      
Flags: X - disabled, D - dynamic 
 #   LIST                                          ADDRESS                        
 0   Internet all                                  192.168.111.98                 
 1   Internet all                                  192.168.111.7                  
 2   25,110,443                                    192.168.111.83                 
 3   drop 80, 8080                                 192.168.111.153                
 4   Site drop                                     192.168.111.61                 
 5   Site true                                     192.168.111.62 

Я так понимаю, на запрет/разрешение каждого сайта/порта нужно писать отдельное правило в firewal'е или лучше так же через address lists?

[gmx]

Конечно через Address List.

[tekirinkaari]

понял. А где тогда прописывать одновременно два листа в правиле?

[simpl3x]

нигде. либо два правила, либо все адреса в еще один объединяйте лист, наличие адресов в разных листах допускается.

[tekirinkaari]

т.е. у меня не получится на группу ip адресов пользователей запретить доступ на сайты, собранные в листе?
и в итоге мне придётся делать столько правил, сколько у меня ip адресов, которым я хочу обрезать доступ к сайтам в листе, либо сколько у меня сайтов, на которые можно сделать запрет с ip адресов пользователей в листе (смотря что меньше)

[gmx]

Более правильно доступ к сайтам регулировать при помощи DNS, либо самого микротика, либо посредствам специальных служб, например, skydns.ru.

[simpl3x]

т.е. у меня не получится на группу ip адресов пользователей запретить доступ на сайты, собранные в листе?
и в итоге мне придётся делать столько правил, сколько у меня ip адресов, которым я хочу обрезать доступ к сайтам в листе, либо сколько у меня сайтов, на которые можно сделать запрет с ip адресов пользователей в листе (смотря что меньше)

если имеется ввиду что есть два списка, один ваши пользователи, другой список запрещенных сайтов, то тогда можно. я имел ввиду тот случай когда у вас два списка пользователей или\и два списка запрещенных сайтов, в этом случае два этих списка одновременно указать нельзя, т.к. параметр src-address-list или dst-address-list может принимать только одно значение, но при этом одновременно можно указывать оба параметра.

Более правильно доступ к сайтам регулировать при помощи DNS, либо самого микротика, либо посредствам специальных служб, например, skydns.ru.

на самом деле спорное утверждение и не всегда применимое к жизни, например в офисах, которые не могут потратить достаточно средств и времени на создание it инфраструктуры, и в этом случае, "блокировка" dns'ом имеет много путей обхода.