Есть локальная сеть на 50 компьютеров, микротик раздаёт адреса по dhcp, некоторые превращены в микротике в статические.
Как некоторым пользователям заблокировать доступ в интернет? Есть в микротике уже встроенная функция для этого (типа Enable - Disable) или надо что-то изобретать?
Блокировка Интернета
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
-
- Модератор
- Сообщения: 3605
- Зарегистрирован: 26 сен 2013, 14:20
- Откуда: НСК
- Контактная информация:
В фильтрах создаем правило на форварде и по адрес листу дропаем соединения наружу
Есть интересная задача и бюджет? http://mikrotik.site
-
- Сообщения: 34
- Зарегистрирован: 28 авг 2015, 05:54
vqd писал(а):В фильтрах создаем правило на форварде и по адрес листу дропаем соединения наружу
Значит изобретать...
-
- Модератор
- Сообщения: 3605
- Зарегистрирован: 26 сен 2013, 14:20
- Откуда: НСК
- Контактная информация:
а в чем изобретение то заключается?
Ну да в микротик разработчики дали инструмент что бы можно было выше описанную функцию сделать самостоятельно и как надо пользователю.
Ну да в микротик разработчики дали инструмент что бы можно было выше описанную функцию сделать самостоятельно и как надо пользователю.
Есть интересная задача и бюджет? http://mikrotik.site
-
- Сообщения: 34
- Зарегистрирован: 28 авг 2015, 05:54
vqd писал(а):а в чем изобретение то заключается?
Ну да в микротик разработчики дали инструмент что бы можно было выше описанную функцию сделать самостоятельно и как надо пользователю.
Ок, тогда можно в таком http://habrahabr.ru/sandbox/67786/ виде, например, описать как это сделать?
-
- Модератор
- Сообщения: 3605
- Зарегистрирован: 26 сен 2013, 14:20
- Откуда: НСК
- Контактная информация:
Как то так. Второе правило разумеется на самый верх
/ip firewall address-list add list=Block_list address=%usr_IP%
/ip firewall filter add chain=forward src-address-list=Block_list dst-address=!%NET% action=drop
/ip firewall address-list add list=Block_list address=%usr_IP%
/ip firewall filter add chain=forward src-address-list=Block_list dst-address=!%NET% action=drop
Есть интересная задача и бюджет? http://mikrotik.site
-
- Сообщения: 0
- Зарегистрирован: 09 сен 2015, 10:42
Мне помогло такое решение:
Консольный вариант
/ip firewall filter
add chain=forward dst-address-list=internet action=accept comment="Allow for user (in)"
add chain=forward src-address-list=internet action=accept comment="Allow for user (out)"
add chain=forward action=drop
И в ip firewall filter address-list создаете адрес лист internet с адресами кому разрешено.
Консольный вариант
/ip firewall address-list
add address=192.168.0.1 disabled=no list=internet
add address=192.168.0.2 disabled=no list=internet
add address=192.168.0.3 disabled=no list=internet
add address=192.168.0.4 disabled=no list=internet
и отталкиваясь от этого, мучаем списки
Так сделайте последним самым правило запрещающее форвард всем, а выше этого правила разрешающие интернет определенному адрес листу. Разрешающих правила должно быть обязательно два, для входящего и исходящего трафика. Последним самым последним должно быть обязательно правило запрещающее всем форвард.
Консольный вариант
/ip firewall filter
add chain=forward dst-address-list=internet action=accept comment="Allow for user (in)"
add chain=forward src-address-list=internet action=accept comment="Allow for user (out)"
add chain=forward action=drop
И в ip firewall filter address-list создаете адрес лист internet с адресами кому разрешено.
Консольный вариант
/ip firewall address-list
add address=192.168.0.1 disabled=no list=internet
add address=192.168.0.2 disabled=no list=internet
add address=192.168.0.3 disabled=no list=internet
add address=192.168.0.4 disabled=no list=internet
и отталкиваясь от этого, мучаем списки
-
- Модератор
- Сообщения: 3323
- Зарегистрирован: 01 окт 2012, 14:48
Все это конечно, хорошо, но....
вы советуетесь или рекомендуете???
что делать с вашей схемой, если заблокировать нужно 5 компов, а разрешить доступ 100????
Мало того, офигительная ручная работа, так еще, в итоге огромный блок лист "положит" в одночасье любой роутер.
Не стоит преподносить/воспринимать первое найденное в интернете решение, как самое верное средство. Да, для дома, схема вполне рабочая, но для серьезных задач это не подойдет.
Вам выше было предложено наиболее эффективное решение.
вы советуетесь или рекомендуете???
что делать с вашей схемой, если заблокировать нужно 5 компов, а разрешить доступ 100????
Мало того, офигительная ручная работа, так еще, в итоге огромный блок лист "положит" в одночасье любой роутер.
Не стоит преподносить/воспринимать первое найденное в интернете решение, как самое верное средство. Да, для дома, схема вполне рабочая, но для серьезных задач это не подойдет.
Вам выше было предложено наиболее эффективное решение.
-
- Модератор
- Сообщения: 3605
- Зарегистрирован: 26 сен 2013, 14:20
- Откуда: НСК
- Контактная информация:
более того, если внутрисетевой трафик попадает в фаервол то эти 3 правила дропнут и его тоже.
Есть интересная задача и бюджет? http://mikrotik.site
-
- Сообщения: 34
- Зарегистрирован: 28 авг 2015, 05:54
vqd писал(а):Как то так. Второе правило разумеется на самый верх
/ip firewall address-list add list=Block_list address=%usr_IP%
/ip firewall filter add chain=forward src-address-list=Block_list dst-address=!%NET% action=drop
%usr_IP% - IP-адрес компа пользователя, %NET% - имя сетевого интерфейса, смотрящего в инет?