Страница 1 из 2
Раздача инета группам пользователей.
Добавлено: 06 июн 2013, 06:31
tekirinkaari
Код: Выделить всё
[tekirinkaari@MikroTik] > ip firewall nat print
Flags: X - disabled, I - invalid, D - dynamic
0 chain=srcnat action=masquerade out-interface=WAN_sfp
Сейчас у меня одно правило: инет всем и каждому.
Хотелось бы инет запретить всем, кроме тех, кто находится в группах. И на каждую группу свои условия раздачи.
условно есть 6 групп пользователей.
1. Нужен выход в инет только по 443 порту
2. полный доступ
3. только по 25,110 портам (можно объединить с п.1, не критично)
4. доступ на всё, кроме инета через браузер (80,8080 порты, либо запрет на http. Не знаю как грамотней будет)
5. доступ к 25, 110, 80, 8080, но есть ограничение по сайтам, например vk.com и др.
6. запрет на всё, кроме определённых сайтов.
сеть 192.168.1.0/22
просто надо настроить быстро, а сижу, пытаюсь разобраться в мануалах и ничего не получается, для меня, пока ещё, nat и firewall лес тёмный, а время идёт. Не успеваю.
Re: Раздача инета группам пользователей.
Добавлено: 06 июн 2013, 12:47
iSupport
я вам посоветую читать мануалы в сторону /ip firewall adress list
это адрес листы. выглядит примерно так
делаем 6 адресс листов по вашему желанию
дальше делаем правила фильтрации файерволла для каждого адресс листа
после этого распихиваем пользователей по адресс листам (то есть ип адреса распределяем по группам)
Если заморочится - можно сделать еще и Hotspot-авторизацию по логину-паролю и там запихивать пользователей в адресс-листы динамически
то есть если менеджеру Васе урезаны права, а админу надо что-то обновить (например найти и поставить дрова на принтер) то админ заходит под своей учеткой и микротик
динамически распределяет комп Васи в адресс-лист для Админов с полным доступом, пока админ не разлогинится
такая чтука интереснее и удобнее. Раздать всем пароли = и вперед.
Re: Раздача инета группам пользователей.
Добавлено: 06 июн 2013, 13:02
tekirinkaari
не... если пароли раздать, то пользователи не поймут. Они каждый раз нервничают, когда в систему входят, потом в 1с, умудряются путаться... Так что обойдусь.
В любом случае создать виртуальный терминальный комп с доступом в инет не трудно.
Re: Раздача инета группам пользователей.
Добавлено: 06 июн 2013, 16:40
tekirinkaari
Код: Выделить всё
[tekirinkaari@MikroTik] > ip firewall address print
Flags: X - disabled, D - dynamic
# LIST ADDRESS
0 Internet all 192.168.111.98
1 Internet all 192.168.111.7
2 25,110,443 192.168.111.83
3 drop 80, 8080 192.168.111.153
4 Site drop 192.168.111.61
5 Site true 192.168.111.62
Я так понимаю, на запрет/разрешение каждого сайта/порта нужно писать отдельное правило в firewal'е или лучше так же через address lists?
Re: Раздача инета группам пользователей.
Добавлено: 06 июн 2013, 16:50
gmx
Конечно через Address List.
Re: Раздача инета группам пользователей.
Добавлено: 06 июн 2013, 17:19
tekirinkaari
понял. А где тогда прописывать одновременно два листа в правиле?
Re: Раздача инета группам пользователей.
Добавлено: 06 июн 2013, 17:31
simpl3x
нигде. либо два правила, либо все адреса в еще один объединяйте лист, наличие адресов в разных листах допускается.
Re: Раздача инета группам пользователей.
Добавлено: 06 июн 2013, 17:52
tekirinkaari
т.е. у меня не получится на группу ip адресов пользователей запретить доступ на сайты, собранные в листе?
и в итоге мне придётся делать столько правил, сколько у меня ip адресов, которым я хочу обрезать доступ к сайтам в листе, либо сколько у меня сайтов, на которые можно сделать запрет с ip адресов пользователей в листе (смотря что меньше)
Re: Раздача инета группам пользователей.
Добавлено: 06 июн 2013, 22:00
gmx
Более правильно доступ к сайтам регулировать при помощи DNS, либо самого микротика, либо посредствам специальных служб, например, skydns.ru.
Re: Раздача инета группам пользователей.
Добавлено: 07 июн 2013, 08:05
simpl3x
tekirinkaari писал(а):т.е. у меня не получится на группу ip адресов пользователей запретить доступ на сайты, собранные в листе?
и в итоге мне придётся делать столько правил, сколько у меня ip адресов, которым я хочу обрезать доступ к сайтам в листе, либо сколько у меня сайтов, на которые можно сделать запрет с ip адресов пользователей в листе (смотря что меньше)
если имеется ввиду что есть два списка, один ваши пользователи, другой список запрещенных сайтов, то тогда можно. я имел ввиду тот случай когда у вас два списка пользователей или\и два списка запрещенных сайтов, в этом случае два этих списка одновременно указать нельзя, т.к. параметр src-address-list или dst-address-list может принимать только одно значение, но при этом одновременно можно указывать оба параметра.
Более правильно доступ к сайтам регулировать при помощи DNS, либо самого микротика, либо посредствам специальных служб, например, skydns.ru.
на самом деле спорное утверждение и не всегда применимое к жизни, например в офисах, которые не могут потратить достаточно средств и времени на создание it инфраструктуры, и в этом случае, "блокировка" dns'ом имеет много путей обхода.