Страница 1 из 1
Блокировка интернета - ограничить входящий или исходящий трафик
Добавлено: 08 ноя 2023, 09:38
qwerty123123
Здравствуйте.
Надо ограничить интернет для части ПК по IP-адресу.
В теории все понятно - создаем адрес-лист, в него включаем адреса нужных ПК и потом в файерволе дропаем форвард трафик. Только вопрос, как будет идеологически более правильно сделать - дропать входящий или исходящий трафик? Или пофиг?
Код: Выделить всё
/ip firewall filter add action=drop chain=forward dst-address-list=Internet_disable in-interface-list=WAN_LIST
или
Код: Выделить всё
/ip firewall filter add action=drop chain=forward out-interface-list=WAN_LIST src-address-list=Internet_disable
где
Internet_disable - группа ip=адресов, которым нужно запретить выход в интернет
WAN_LIST - группа внешних интерфейсов
Спасибо
Re: Блокировка интернета - ограничить входящий или исходящий трафик
Добавлено: 13 ноя 2023, 15:11
hardrockbaby
qwerty123123 писал(а): ↑08 ноя 2023, 09:38дропать входящий или исходящий трафик? Или пофиг?
Исходящий. Так вы дропаете
ваш изначальный запрос к серверу и он не станет вам отвечать.
Если дропать входящий то получается вы делаете запрос к серверу, но ответа от вас он не дождётся - бессмыслица
Re: Блокировка интернета - ограничить входящий или исходящий трафик
Добавлено: 13 ноя 2023, 22:26
qwerty123123
Почему бессмыслица? Чисто теоретически - ответа на запросы из внешней сети ПК не получит и "интернета" на ПК не будет, но отправлять данные по UDP наружу он же сможет?
Но с вашими доводами по поводу дропа исходящего трафика я согласен, спасибо.
Re: Блокировка интернета - ограничить входящий или исходящий трафик
Добавлено: 14 ноя 2023, 07:35
bst-botsman
hardrockbaby писал(а): ↑13 ноя 2023, 15:11
qwerty123123 писал(а): ↑08 ноя 2023, 09:38дропать входящий или исходящий трафик? Или пофиг?
Исходящий. Так вы дропаете
ваш изначальный запрос к серверу и он не станет вам отвечать.
Если дропать входящий то получается вы делаете запрос к серверу, но ответа от вас он не дождётся - бессмыслица
Вот уж любители DROP-ать... А теперь поразмыслите что Вы получите...
Во всяком случае просто DROP-ая исходящий трафик - Ваш браузер, к примеру, будет ждать ответа и вывалится только по таймауту... А вот если Вы будете использовать REJECT с допом, например, "ICMP HOST UNREACHABLE" - то браузер тут же получит ответ и не будет висеть в течение таймаута в ожидании ответа...
Так что все-таки, мое мнение, для внутренних (своих) клиентов использовать REJECT, а вот уже для внешних (чужих) - DROP...
Re: Блокировка интернета - ограничить входящий или исходящий трафик
Добавлено: 14 ноя 2023, 21:14
qwerty123123
bst-botsman писал(а): ↑14 ноя 2023, 07:35
если Вы будете использовать REJECT с допом, например, "ICMP HOST UNREACHABLE" - то браузер тут же получит ответ и не будет висеть в течение таймаута в ожидании ответа
да, действительно - если поставить
action=reject, то при пинге ответ "Заданная сеть недоступна" приходит гораздо быстрее, чем ответ "Превышен интервал ожидания для запроса" при выставленном
action=drop
Спасибо
А вот браузер edge в обоих вариантах одинаково долго выдает "ERR_CONNECTION_TIMED_OUT"
Re: Блокировка интернета - ограничить входящий или исходящий трафик
Добавлено: 20 апр 2024, 11:59
stasbob
Добрый день!
У меня есть вопрос. Как некоторым пользователям, по мак адресу, заблокировать полностью доступ в интернет, кроме некоторых адресов. Например, заблокировать пользователя по мак адресу полностью доступ в интернет, но оставить доступ к mail.ru и ya.ru. Подскажите, пожалуйста, как это сделать?