Фильтрация портов

Обсуждение на тему выбора оборудования
pvlad
Сообщения: 5
Зарегистрирован: 07 авг 2012, 16:15

Есть такая проблема:
В офисе находятся сотрудники двух категорий: те, кому не ограничен выход (руководство) в Интернет, и те, кому разрешено только отправлять почту (порты 110,25). Можно ли в одноранговой сетке, по внутреннему IP осуществлять фильтрацию портов при выходе в Интернет, т.е. определенным внутренним IP-адресам устанавливать запрет к портам 80,443,8080 (т.е. исключить доступ к html-контенту в Интернете).
Можно ли решить эту проблему с помощью вашего оборудования, не создавая две подсетки, как обычно это делается.
VPN-канал 4Мбита, реальный IP-адрес.


antkamidiv
Сообщения: 119
Зарегистрирован: 22 мар 2012, 18:28
Контактная информация:

Запросто. Только надо определиться кого больше.

Если больше тех, кому серфинг разрешен, то создаете сначала запрещающие правила для отдельных адресов и потом добавляете в конце правило разрешающее.

Если больше тех, кому серфинг запрещен, то создаете сначала разрещающие правила для отдельных адресов и потом добавляете в конце правило запрешающее.


pvlad
Сообщения: 5
Зарегистрирован: 07 авг 2012, 16:15

antkamidiv писал(а):Запросто. Только надо определиться кого больше.
...больше тех, кому серфинг запрещен, то создаете сначала разрешающие правила для отдельных адресов...

Спасибо за совет. Хотелось бы услышать мнение и конкретные предложения по закупке от тех.поддержки.
Контингент начальства не большой - 3 человека, а остальных, кому серфинг запрещен, - 8-9 человек.
И еще:
1. Мне необходимо фильтровать порты, а не адреса (или я что-то не понял?).
2. Какое оборудование MIKROTIK подойдет для моего случая конкретно. Дело в том, что я пробовал решить эту проблему с помощью роутера Asus WL520GC. Все неплохо работает для 1-2 человек. Но если 8-10 IP-адресов прописываешь, то производительность роутера уже недостаточная, и Интернет ползает "вяло". Оно и понятно - роутер рассчитан для домашнего использования.


antkamidiv
Сообщения: 119
Зарегистрирован: 22 мар 2012, 18:28
Контактная информация:

1. Мне необходимо фильтровать порты, а не адреса (или я что-то не понял?).

Да. Необходимо фильтровать порты для определенных адресов.
2. Какое оборудование MIKROTIK подойдет для моего случая конкретно.

Если Lan гигабитный, то RB750GL. Если нет, то RB750. И если нужен еще wifi, то RB751U-2HND.


pvlad
Сообщения: 5
Зарегистрирован: 07 авг 2012, 16:15

antkamidiv писал(а): Если Lan гигабитный, то RB750GL

У меня сложилось впечатления, что роутер не имеет WEB-интерфейса, и все конфигурирование сводится к прописыванию текстовых строк-скриптов, как в Линуксе?


antkamidiv
Сообщения: 119
Зарегистрирован: 22 мар 2012, 18:28
Контактная информация:

Есть Webbox(это web морда).
Есть Winbox - windows приложение для настройки.
А можно через telnet или ssh настраивать в консоли.


pvlad
Сообщения: 5
Зарегистрирован: 07 авг 2012, 16:15

antkamidiv писал(а):Есть Webbox(это web морда).
Есть Winbox - windows приложение для настройки.
А можно через telnet или ssh настраивать в консоли.

Скупое описание Winbox я нашел на сайте, но там кроме конфиг.интерфейса ничего нет.
О Webbox вообще ничего не нашел.
Ну, с telnet счастливы только линуксисты (я, к сожалению, виндусятник).
Что-то у меня начал пропадать аппетит от такого "изобилия" информации по настройке продукции Микротик.
Хотел связаться с тех.поддержкой по телефону - сказали только через форум! Получается, купишь сию коробочку (на складе выдали - будь здоров!), и не найдешь кто ее доведет до ума, если своего не хватит. М-да...


antkamidiv
Сообщения: 119
Зарегистрирован: 22 мар 2012, 18:28
Контактная информация:

Ну, если честно, то информации более, чем достаточно в инете! Допустим http://notme.org.ua/manual-po-nastrojke ... om-yazyke/.
А так я да. Линуксятник. :)
Нужна помощь в настройке - обращайтесь!!! Покажу, расскажу...


pvlad
Сообщения: 5
Зарегистрирован: 07 авг 2012, 16:15

Спасибо! Все понятно - надо подумать. Конечно посмотрю в Инете еще информацию по настройке роутеров Микротик.
Для себя можно, конечно, сидеть и бесконечно разбираться, общаясь на форумах. А для работы необходим гарантированный результат за гарантированный срок.
Свою проблему я пробовал решать с помощью ZyWall-5 фирмы Zyxel? но там без разделения "контингента" на две подсетки, мне сварганить ничего не удалось. А две подсетки в одноранговой сети - это гимор (по разным причинам).
P.S. Закинул инфо в личку.


antkamidiv
Сообщения: 119
Зарегистрирован: 22 мар 2012, 18:28
Контактная информация:

Смотрите в ЛС. Проблему вашу решим ;)


Ответить