Видны порты снаружи, VPN работает всегда.

Обсуждение оборудования и его настройки
plin2s
Сообщения: 417
Зарегистрирован: 26 сен 2012, 16:17
Контактная информация:

Koenig писал(а):Правильно, я таким образом запретил пинг снаружи. Или это неверно и его можно запретить другим образом?

Это я к тому, что в том списке нет общего запрещающего правила в конце. А значит доступ снаружи не закрыт.


Koenig
Сообщения: 19
Зарегистрирован: 09 окт 2014, 14:11

Я его недоскопировал, оно есть. То что Вы давали ранее.
У меня теперь другая загвоздка, раньше работало так, закидываешь ip в лист NO INTERNET, у человека инет пропадает, а почта, именно порты 25, 110, 465 и 993 продолжали работать, теперь не работают, правила такие:

Код: Выделить всё

/ip firewall filter
add chain=input comment="Allow Winbox" dst-port=8291 protocol=tcp src-address=\
    192.168.0.0/22
add chain=forward comment="Pochta pri otsutstvii interneta" dst-port=110 \
    protocol=tcp src-address-list="NO INTERNET"
add chain=forward dst-port=25 protocol=tcp src-address-list="NO INTERNET"
add chain=forward dst-port=465 protocol=tcp src-address-list="NO INTERNET"
add chain=forward dst-port=993 protocol=tcp src-address-list="NO INTERNET"
add action=drop chain=input comment="Drop input WAN" in-interface=SZT protocol=\
    icmp
add chain=input comment="Allow PPTP" dst-port=1723 protocol=tcp
add chain=input protocol=gre
add chain=input comment="Allow Established connections" connection-state=\
    established
add action=drop chain=input protocol=tcp src-address-list="NO INTERNET"
add action=drop chain=forward src-address-list="NO INTERNET"
add action=drop chain=forward layer7-protocol=social src-address-list=\
    CU_BLOCK_SOCIAL
add action=drop chain=input comment="Just DROP" in-interface=SZT

Где опять накосячил?


Koenig
Сообщения: 19
Зарегистрирован: 09 окт 2014, 14:11

Разобрался, со своего компа проверял, а у меня почта не так настроена как у остальных, поэтому правила для тех портов что у меня не было, отсюда и проблема. Сам виноват.


Koenig
Сообщения: 19
Зарегистрирован: 09 окт 2014, 14:11

косяк провайдера.


Koenig
Сообщения: 19
Зарегистрирован: 09 окт 2014, 14:11

Использую L7 для блокировки соц сетей и аннонимайзеров, все работает хорошо, однако если заходить так, https://vk.com, то vk открывается, как его правильно заблокировать???
 правила
/ip firewall layer7-protocol
add comment="Block social setej" name=social regexp="^.*(get|GET).+(vk.com|vkont\
akte|odnoklassniki|facebook|fall-in-love|loveplanet|my.mail.ru|ok.ru|instagr\
am.com|aradero.ru|serqus.ru|amaleto.ru|gredor.ru|parsekus.ru|fastbuh.ru|forf\
olks.ru|recker.ru|arendadorogo.ru|vkdor.ru|vos3.ru|skrud.ru|ferdark.ru|razar\
d.ru|berock.ru|daidostup.ru|cameleo.ru|anonim|nbla.ru|westfeed.ru|nogivkrovi\
.ru|kproxy.com|soborate.ru|paleazzo.ru|harrachov.ru|anonimizer.ru|twitter|vk\
).*\$"

/ip firewall filter
add action=reject chain=forward comment="Block Social" layer7-protocol=social \
protocol=tcp reject-with=tcp-reset src-address-list=CU_BLOCK_SOCIAL


Ответить