Здравствуйте, форумчане.
Помогите решить задачу.
Нужно создать ACL, который будет блокировать весь трафик с 00-30 до 5 утра каждый день (дети не знают границ с играми), за исключением одного статического IP (на нем охрана).
Устройство HAP ac 2.
Заранее спасибо.
Time based ACL
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
-
- Сообщения: 620
- Зарегистрирован: 11 июл 2017, 13:03
-
- Сообщения: 5
- Зарегистрирован: 31 янв 2022, 18:16
Неплохой вариант, но старшего сына так не остановить. Сам научил его MAC на компе подменять.
-
- Сообщения: 620
- Зарегистрирован: 11 июл 2017, 13:03
- podarok66
- Модератор
- Сообщения: 4361
- Зарегистрирован: 11 фев 2012, 18:49
- Откуда: МО
Да всё же есть. Два правила в NAT:
Первое для охранного устройства, второе для всей локалки, кроме охраны. Второе имеет временные ограничения.
Пусть хоть обменяется MAC-адресами.
Код: Выделить всё
/ip firewall nat
add action=masquerade chain=srcnat dst-address=IP_ohrana out-interface=ether1
add action=masquerade chain=srcnat dst-address=!IP_ohrana out-interface=ether1 time=5h-23h59m59s,sun,mon,tue,wed,thu,fri,sat
Пусть хоть обменяется MAC-адресами.
Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
-
- Сообщения: 5
- Зарегистрирован: 31 янв 2022, 18:16
Всем спасибо за помощь!
Создал два Address list. В одном IP , который должен работать всегда. Во втором вся сеть, которая должна быть запрещена.
7 chain=forward action=accept src-address-list=Allow-traffic log=no
log-prefix=""
8 I ;;; inactive time
chain=forward action=drop src-address-list=Block-traffic
time=30m-5h,sun,mon,tue,wed,thu,fri,sat log=no log-prefix=""
Все отлично работает. Заодно понял логику работы Filter rules.
Я в основном по CISCO, а дома MIKROTIK. Вот и до него руки дошли.
Классная коробка!
Создал два Address list. В одном IP , который должен работать всегда. Во втором вся сеть, которая должна быть запрещена.
7 chain=forward action=accept src-address-list=Allow-traffic log=no
log-prefix=""
8 I ;;; inactive time
chain=forward action=drop src-address-list=Block-traffic
time=30m-5h,sun,mon,tue,wed,thu,fri,sat log=no log-prefix=""
Все отлично работает. Заодно понял логику работы Filter rules.
Я в основном по CISCO, а дома MIKROTIK. Вот и до него руки дошли.
Классная коробка!
- podarok66
- Модератор
- Сообщения: 4361
- Зарегистрирован: 11 фев 2012, 18:49
- Откуда: МО
Я ведь почему в NAT полез? Отключение одного правила NAT для определённого пула адресов не изменяет логику движения пакетов в локальных сетях, не отключает остальные правила NAT, могущие работать с VPN-сервисами и так далее. А вот насчет Fiter Rules могут быть оговорки ...
Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...