Запретить интернет для всех

Обсуждение оборудования и его настройки
Ответить
Rubiks
Сообщения: 24
Зарегистрирован: 24 янв 2018, 00:00

Здравствуйте. Подскажите пж как правильно запретить инет всем и разрешить только один сайт

Firewall -> address lists
http://prntscr.com/k607ge

Запрещающее правило:
1. http://prntscr.com/k606m9
2. http://prntscr.com/k606w2
3. http://prntscr.com/k6070j

Разрешающее правило:
1. http://prntscr.com/k607pm
2. http://prntscr.com/k607xl
3. http://prntscr.com/k6083h

Сайт который разрешен очень долго загружаться если убрать правила все работает корректно.


Jukilo
Сообщения: 38
Зарегистрирован: 07 июн 2018, 11:33

1. разрешающее правило должно быть перед запрещающим
2. В разрешающем у вас src=site dst=pc, для исходящих соединений надо наоборот
3. Фильтровать сайты по ip в условиях современного web - плохая идея. лучше по l7

Код: Выделить всё

/ip firewall layer7
add name=url-any regexp="^.+\$"
add name=url-gmail regexp="^.+gmail|google.com|google.ru|googleusercontent|gstatic).*\$"

/ip firewall filter
add chain=forward scr-address-list=only-gmail action=jump jump-target=forward-gmail
add chain=forward-gmail layer7=url-gmail action=accept
add chain=forward-gmail layer7=url-any action=reject
Делал так. Говорят, что ресурсоемко так l7 гонять, но я проблем с производительностью не видел.


Rubiks
Сообщения: 24
Зарегистрирован: 24 янв 2018, 00:00

Если сделать так как вы предлагаете то инет на все машинах.

Мне нужно
1. Запретить инет и разрешить только несколько сайтов


Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

Создаём адрес-лист Goodsite и заносим туда сайты, которые разрешены для посещения

Код: Выделить всё

/ip firewall address-list add address=google.ru list=Goodsite
/ip firewall address-list add address=yandex.ru list=Goodsite
Два правила в фильтры (два, потому что я тут имел прецедент, когда при запрещенном tcp протоколе работал тот же youtube, я немного офигел даже):

Код: Выделить всё

/ip firewall filter 
add action=reject chain=forward dst-address-list=!Goodsite protocol=tcp reject-with=tcp-reset src-address=192.168.88.0/24
add action=drop chain=forward dst-address-list=!Goodsite protocol=udp src-address=192.168.88.0/24


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
Rubiks
Сообщения: 24
Зарегистрирован: 24 янв 2018, 00:00

google.com вообще не загружается, а тот сайт что нужен загружается без стилей


Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

Rubiks писал(а): 15 июл 2018, 00:09 google.com вообще не загружается
У меня в примере был google.ru, меня адресует именно на него при обращении к Гуглу. У меня дома всё работает, я так своим ребятам доступ в интернет прикрываю, мотивирую на учебу :-)


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
Ответить