Приветствую!
Столкнулся с небольшой проблемой, голову сломал уже над ее разрешением
Дано: сеть 10.0.0.0, мой участок занимает в ней диапазон 10.41.0.0/18
Хотспот живет в выделенном вилане, 10.41.224/21
Маршрутизатор в моем сегменте - 10.41.0.100
Нужно чтоб клиенты 224 вилана могли свободно идти в инет, а так же видели некоторые адреса в сети 10.41.0.0/18
Вся остальная сеть 10.0.0.0 им должна быть недоступна
Были заведены два адрес-листа Deny Office Network и Allow Office Network
Правилом
/ ip firewall filter add chain=forward src-address-list=Deny Office Network action=drop comment="Deny Office Network" disabled=no
Я перекрыл всю десятую сеть
Вопрос - какие теперь в файерволл добавить правила, разрешающие всем пользователям доступ к шлюзу и к некоторым адресам, входящим в Allow Office Network?
Прошу помощи с файерволлом
-
simpl3x
- Модератор
- Сообщения: 1532
- Зарегистрирован: 19 апр 2012, 14:03
из контекста не ясно, что такое Deny Office Network
эта фраза предполагает что вы закрыли доступ ОТ списка Deny Office Network
НО
говорит о том, что Deny Office Network это 10.0.0.0/8, или я чего то не понимаю. в любом случае, я бы сделал так:
1. резрешает "а так же видели некоторые адреса в сети 10.41.0.0/18"
2. разрешает "разрешающие всем пользователям доступ к шлюзу" "10.41.0.100"
3. запрещает "Вся остальная сеть 10.0.0.0 им должна быть недоступна"
4. разрешает весь остальной роутинг =) чтобы жилось в интернете.
Правилом
/ ip firewall filter add chain=forward src-address-list=Deny Office Network action=drop comment="Deny Office Network" disabled=no
эта фраза предполагает что вы закрыли доступ ОТ списка Deny Office Network
НО
Я перекрыл всю десятую сеть
говорит о том, что Deny Office Network это 10.0.0.0/8, или я чего то не понимаю. в любом случае, я бы сделал так:
Код: Выделить всё
/ip firewall filter add chain=forward src-address=10.41.224.0/21 dst-address-list="Allow Office Network" action=accept comment="Allow Office Network" disabled=no
/ip firewall filter add chain=forward src-address=10.41.224.0/21 dst-address=10.41.0.100 action=accept comment="Allow GW" disabled=no
/ip firewall filter add chain=forward src-address=10.41.224.0/21 dst-address=10.0.0.0/8 action=drop comment="Deny 10.0.0.0/8" disabled=no
/ip firewall filter add chain=forward src-address=10.41.224.0/21 action=drop comment="Allow another routing 0.0.0.0/0" disabled=no1. резрешает "а так же видели некоторые адреса в сети 10.41.0.0/18"
2. разрешает "разрешающие всем пользователям доступ к шлюзу" "10.41.0.100"
3. запрещает "Вся остальная сеть 10.0.0.0 им должна быть недоступна"
4. разрешает весь остальной роутинг =) чтобы жилось в интернете.
-
Indy
- Сообщения: 47
- Зарегистрирован: 17 дек 2012, 05:19
Спасибо большое!
только один нюанс
точно так?
Может всё таки
?
только один нюанс
точно так?
/ip firewall filter add chain=forward src-address=10.41.224.0/21 action=drop comment="Allow another routing 0.0.0.0/0" disabled=no
4. разрешает весь остальной роутинг =) чтобы жилось в интернете.
Может всё таки
/ip firewall filter add chain=forward src-address=10.41.224.0/21 action=accept comment="Allow another routing 0.0.0.0/0" disabled=no
?
-
Indy
- Сообщения: 47
- Зарегистрирован: 17 дек 2012, 05:19
И еще, так сказать - последний штрих на данном этапе - а вдруг умеет как то 
Пользовтаелям хотспота суточный лимит потребляемого трафика будет ограничен. Ибо канал не резиновый, а спутниковый.
Есть ли возможность не учитывать трафик, потребляемый клиентами с сети 10.0.0.0/8, то есть из группы Allow Office Network?
PS: обход сделал с помощью Walled Garden. Но это если не аутентифицировать пользователя.. А аутентифицированных ... надо попробовать перемаркировку пакетов сделать.. наверное..
Пользовтаелям хотспота суточный лимит потребляемого трафика будет ограничен. Ибо канал не резиновый, а спутниковый.
Есть ли возможность не учитывать трафик, потребляемый клиентами с сети 10.0.0.0/8, то есть из группы Allow Office Network?
PS: обход сделал с помощью Walled Garden. Но это если не аутентифицировать пользователя.. А аутентифицированных ... надо попробовать перемаркировку пакетов сделать.. наверное..
-
simpl3x
- Модератор
- Сообщения: 1532
- Зарегистрирован: 19 апр 2012, 14:03
Indy, да, copy-paste не сработал =)
а пустить пользователей мимо хот спот? или сделать им другой профиль пользователя, с другими квотами? или пустить их на другой хот спот?
а пустить пользователей мимо хот спот? или сделать им другой профиль пользователя, с другими квотами? или пустить их на другой хот спот?
-
Indy
- Сообщения: 47
- Зарегистрирован: 17 дек 2012, 05:19
Мммм... тут будет как.. если не логинить и через валлед-гарден - то всё ок, траффик не считается
Но поскольку лишнее движение мышкой для среднестатистического юзера - это головная боль, то пытаемся минимизировать им эти телодвижения, исходим из того, что пользователь будет всегда залогинен на хотспот
Ну, в крайнем случае - до нужных сервером пробросим нужный вилан и сетевую карту в 224 сеть, благо всё виртуализовано, никаких проблем с этим не будет. Если я правильно понимаю - внутри 10.41.224.0/21 трафик у пользователей не должен же считаться, так как он минуя хотспот идти будет, так?
Но поскольку лишнее движение мышкой для среднестатистического юзера - это головная боль, то пытаемся минимизировать им эти телодвижения, исходим из того, что пользователь будет всегда залогинен на хотспот
Ну, в крайнем случае - до нужных сервером пробросим нужный вилан и сетевую карту в 224 сеть, благо всё виртуализовано, никаких проблем с этим не будет. Если я правильно понимаю - внутри 10.41.224.0/21 трафик у пользователей не должен же считаться, так как он минуя хотспот идти будет, так?
-
simpl3x
- Модератор
- Сообщения: 1532
- Зарегистрирован: 19 апр 2012, 14:03
Но поскольку лишнее движение мышкой для среднестатистического юзера - это головная боль, то пытаемся минимизировать им эти телодвижения, исходим из того, что пользователь будет всегда залогинен на хотспот
Ну, в крайнем случае - до нужных сервером пробросим нужный вилан и сетевую карту в 224 сеть, благо всё виртуализовано, никаких проблем с этим не будет.
ну так и пустите его мимо hotspot, если ему мышкой двигать лень.
Если я правильно понимаю - внутри 10.41.224.0/21 трафик у пользователей не должен же считаться, так как он минуя хотспот идти будет, так?
ну из тех настроек что я написал выше, это не очевидный вывод. все будет зависеть от того, как эти правила будут расположены относительно правил авторизации. вы можете например 1,2,3 поставить перед правилами хотспот, а 4 вообще убрать. четких правил в этом нет, главное не ошибиться с порядком правил.
-
Indy
- Сообщения: 47
- Зарегистрирован: 17 дек 2012, 05:19
Понял, спасибо
Будем экспериментировать
Будем экспериментировать
-
Indy
- Сообщения: 47
- Зарегистрирован: 17 дек 2012, 05:19
Умеет ли микротик организовывать блэк и вайт листы по портам? Чтоб не рисовать на каждую группу пользователей одинаковые правила, а создать 2 списка (разрешенных и запрещенных) и юзать их в файерволле по надобности?
-
gmx
- Модератор
- Сообщения: 3182
- Зарегистрирован: 01 окт 2012, 14:48
Если речь про IP адреса то может, смотрите вкладку Address Lists.