Адресс лист надо назвать БЕЗ восклицательного знака ( просто Block site)
а когда делаете правило НАТ (mascarade) слева от поля DST adress list есть квадратик
ткните в квадратик и появится Восклицательный знак (ТО ЕСТЬ Отрицание совпадения)
Как запретить определенные сайты в Mikrotik?
-
- Сообщения: 2359
- Зарегистрирован: 06 фев 2011, 20:44
Граждане, сколько раз просил =) чем понятнее и точнее сформулирован вопрос - тем понятнее и точнее будет на него ответ.
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь
-
- Сообщения: 66
- Зарегистрирован: 26 июл 2011, 17:19
IP-адреса сайтов блокировать непозволительно.
Потому как на 1 IP адресе может висеть сотни сайтов.
Только разбор HTTP заголовка поможет. Layer7-Protocol.
Там есть DNS-имя сайта.
Но Regexp, к сожалению не работает у Микротика.
Потому как на 1 IP адресе может висеть сотни сайтов.
Только разбор HTTP заголовка поможет. Layer7-Protocol.
Там есть DNS-имя сайта.
Но Regexp, к сожалению не работает у Микротика.
-
- Сообщения: 149
- Зарегистрирован: 05 мар 2012, 11:35
iSupport
Спасибо за уточнение.
sontrava
Если не хотите блокировать IP тогда лучше сделать редирект на прокси, где и будет все запрещаться/разрешаться. И быстрей будет работать чем через Layer 7. Говорю так потому, что сравнивал Web proxy и Layer7. Web proxy быстрей и удобней.
Спасибо за уточнение.
sontrava
Если не хотите блокировать IP тогда лучше сделать редирект на прокси, где и будет все запрещаться/разрешаться. И быстрей будет работать чем через Layer 7. Говорю так потому, что сравнивал Web proxy и Layer7. Web proxy быстрей и удобней.
-
- Сообщения: 149
- Зарегистрирован: 05 мар 2012, 11:35
Просветите меня пожалуйста,а то я все еще путаюсь.
Есть DST - Address и DST - Port
Есть SRC - Address и SRC - Port
Что значит DST и SRC?
На примере 2 сетевух.
В сетевуху №1 заведен Интернет
В сетевуху №2 заведен LAN
Если я создаю правило перенаправляющее с порта 80 на порт 3128 почему я указываю dstnat?
Ну как-то вот так...
Путаюсь я еще в терминологии.
Есть DST - Address и DST - Port
Есть SRC - Address и SRC - Port
Что значит DST и SRC?
На примере 2 сетевух.
В сетевуху №1 заведен Интернет
В сетевуху №2 заведен LAN
Если я создаю правило перенаправляющее с порта 80 на порт 3128 почему я указываю dstnat?
Ну как-то вот так...
Путаюсь я еще в терминологии.
-
- Сообщения: 149
- Зарегистрирован: 05 мар 2012, 11:35
Вопрос.
На компе 3 учетных записи.
Все 3 пользователя пользуются контактом.
Нужно одному закрыть определенные приложения а другому оставить полный доступ.
Как это реализовать?
На компе 3 учетных записи.
Все 3 пользователя пользуются контактом.
Нужно одному закрыть определенные приложения а другому оставить полный доступ.
Как это реализовать?
-
- Сообщения: 110
- Зарегистрирован: 08 дек 2011, 05:56
NAT - произвольная адресная трансляция (модификация пакета)
D-NAT (dst-nat) это NAT с изменением назначения (destination) - было назначение на внешний IP роутера, стало на внутренний адрес
S-NAT (src-nat) это NAT c изменением источника (souece) - был запрос от локального (внутреннего) хоста, стал от внешнего IP роутера
D-NAT (dst-nat) это NAT с изменением назначения (destination) - было назначение на внешний IP роутера, стало на внутренний адрес
S-NAT (src-nat) это NAT c изменением источника (souece) - был запрос от локального (внутреннего) хоста, стал от внешнего IP роутера
- podarok66
- Модератор
- Сообщения: 4362
- Зарегистрирован: 11 фев 2012, 18:49
- Откуда: МО
M1chA писал(а):Вопрос.
На компе 3 учетных записи.
Все 3 пользователя пользуются контактом.
Нужно одному закрыть определенные приложения а другому оставить полный доступ.
Как это реализовать?
Может все-таки в данном случае поставить firewall на компьютер и уже там применить разные политики для разных пользователей? На мой взгляд это в реализации на порядок проще, чем нагружать роутер ненужными правилами. Причем, я плохо представляю, как это реализовывать силами роутера, разве что доступ через HotSpot под разными логинами с разной политикой запретов. Но...
Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
-
- Сообщения: 149
- Зарегистрирован: 05 мар 2012, 11:35
danilovav
Спасибо за разъяснение.
podarok66
Ставить на комп фаер к сожалению не вариант, поэтому буду думать...
Может радиус подниму...
Спасибо за разъяснение.
podarok66
Ставить на комп фаер к сожалению не вариант, поэтому буду думать...
Может радиус подниму...
-
- Сообщения: 66
- Зарегистрирован: 26 июл 2011, 17:19
Web proxy быстрей и удобней.
Это да.
L7 - тяжелая штука.
Кроме того у меня она так и не заработала.
Регекспы разные пробовал.
HTTP заголовок отфильтровать так и не получилось
-
- Сообщения: 66
- Зарегистрирован: 26 июл 2011, 17:19
Можно блокировать IP-адрес сайта, если известно,
что на этом IP висит только этот сайт.
Это легко определяется.
что на этом IP висит только этот сайт.
Это легко определяется.