Блокировка Интернета

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Elevyr
Сообщения: 34
Зарегистрирован: 28 авг 2015, 05:54

Есть локальная сеть на 50 компьютеров, микротик раздаёт адреса по dhcp, некоторые превращены в микротике в статические.
Как некоторым пользователям заблокировать доступ в интернет? Есть в микротике уже встроенная функция для этого (типа Enable - Disable) или надо что-то изобретать?


vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

В фильтрах создаем правило на форварде и по адрес листу дропаем соединения наружу


Есть интересная задача и бюджет? http://mikrotik.site
Elevyr
Сообщения: 34
Зарегистрирован: 28 авг 2015, 05:54

vqd писал(а):В фильтрах создаем правило на форварде и по адрес листу дропаем соединения наружу

Значит изобретать...


vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

а в чем изобретение то заключается?
Ну да в микротик разработчики дали инструмент что бы можно было выше описанную функцию сделать самостоятельно и как надо пользователю.


Есть интересная задача и бюджет? http://mikrotik.site
Elevyr
Сообщения: 34
Зарегистрирован: 28 авг 2015, 05:54

vqd писал(а):а в чем изобретение то заключается?
Ну да в микротик разработчики дали инструмент что бы можно было выше описанную функцию сделать самостоятельно и как надо пользователю.

Ок, тогда можно в таком http://habrahabr.ru/sandbox/67786/ виде, например, описать как это сделать?


vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

Как то так. Второе правило разумеется на самый верх

/ip firewall address-list add list=Block_list address=%usr_IP%
/ip firewall filter add chain=forward src-address-list=Block_list dst-address=!%NET% action=drop


Есть интересная задача и бюджет? http://mikrotik.site
Vandal
Сообщения: 0
Зарегистрирован: 09 сен 2015, 10:42

Мне помогло такое решение:

Так сделайте последним самым правило запрещающее форвард всем, а выше этого правила разрешающие интернет определенному адрес листу. Разрешающих правила должно быть обязательно два, для входящего и исходящего трафика. Последним самым последним должно быть обязательно правило запрещающее всем форвард.


Консольный вариант
/ip firewall filter
add chain=forward dst-address-list=internet action=accept comment="Allow for user (in)"
add chain=forward src-address-list=internet action=accept comment="Allow for user (out)"
add chain=forward action=drop

И в ip firewall filter address-list создаете адрес лист internet с адресами кому разрешено.

Консольный вариант
/ip firewall address-list
add address=192.168.0.1 disabled=no list=internet
add address=192.168.0.2 disabled=no list=internet
add address=192.168.0.3 disabled=no list=internet
add address=192.168.0.4 disabled=no list=internet

и отталкиваясь от этого, мучаем списки


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

Все это конечно, хорошо, но....
вы советуетесь или рекомендуете???

что делать с вашей схемой, если заблокировать нужно 5 компов, а разрешить доступ 100????

Мало того, офигительная ручная работа, так еще, в итоге огромный блок лист "положит" в одночасье любой роутер.

Не стоит преподносить/воспринимать первое найденное в интернете решение, как самое верное средство. Да, для дома, схема вполне рабочая, но для серьезных задач это не подойдет.

Вам выше было предложено наиболее эффективное решение.


vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

более того, если внутрисетевой трафик попадает в фаервол то эти 3 правила дропнут и его тоже.


Есть интересная задача и бюджет? http://mikrotik.site
Elevyr
Сообщения: 34
Зарегистрирован: 28 авг 2015, 05:54

vqd писал(а):Как то так. Второе правило разумеется на самый верх

/ip firewall address-list add list=Block_list address=%usr_IP%
/ip firewall filter add chain=forward src-address-list=Block_list dst-address=!%NET% action=drop

%usr_IP% - IP-адрес компа пользователя, %NET% - имя сетевого интерфейса, смотрящего в инет?


Ответить