Ограничение интернета по белым спискам и timeout соединения.
Добавлено: 29 мар 2024, 00:18
Доброго времени суток!
Есть Микротик CRS326-24G-2S+ и задача: сделать так, чтобы сервер 1С имел доступ только к нужным сервисам, остальной интернет должен отсутствовать.
Реализовано на основе белого списка и правила в Firewall:
add action=accept chain=forward comment="accept 1c" dst-address-list=WHITE_1C src-address-list=1C_SRV
add action=drop chain=forward comment="drop all not white_1c" dst-address-list=!WHITE_1C src-address-list=1C_SRV
а так же правило NAT:
add action=masquerade chain=srcnat out-interface="WAN2" src-address-list=1C_SRV
Собственно, в адрес листе 1C_SRV - ip адреса серверов в локальной сети, в WHITE_1C - ip адреса сервисов в интернете.
Все работает какое-то время, отклик от сервисов хороший: но спустя час другой в лог 1с начинают сыпаться ошибки о таймаутах и вот такие сообщения: Добавляю этот же сервер в whitelist с полным доступом в интернет, все налаживается и работает сутками без сбоев, потом снова перетягиваю в отдельный адрес лист, какое-то время работает а потом снова валятся таймауты и ошибки соединения...
Подскажите уважаемые, в какую сторону можно копать?
DNS настроен на роутере, его не ограничиваю.
Есть Микротик CRS326-24G-2S+ и задача: сделать так, чтобы сервер 1С имел доступ только к нужным сервисам, остальной интернет должен отсутствовать.
Реализовано на основе белого списка и правила в Firewall:
add action=accept chain=forward comment="accept 1c" dst-address-list=WHITE_1C src-address-list=1C_SRV
add action=drop chain=forward comment="drop all not white_1c" dst-address-list=!WHITE_1C src-address-list=1C_SRV
а так же правило NAT:
add action=masquerade chain=srcnat out-interface="WAN2" src-address-list=1C_SRV
Собственно, в адрес листе 1C_SRV - ip адреса серверов в локальной сети, в WHITE_1C - ip адреса сервисов в интернете.
Все работает какое-то время, отклик от сервисов хороший: но спустя час другой в лог 1с начинают сыпаться ошибки о таймаутах и вот такие сообщения: Добавляю этот же сервер в whitelist с полным доступом в интернет, все налаживается и работает сутками без сбоев, потом снова перетягиваю в отдельный адрес лист, какое-то время работает а потом снова валятся таймауты и ошибки соединения...
Подскажите уважаемые, в какую сторону можно копать?
DNS настроен на роутере, его не ограничиваю.