Прошу помощи с файерволлом

Обсуждение ПО и его настройки
Indy
Сообщения: 40
Зарегистрирован: 17 дек 2012, 05:19

10 янв 2013, 13:15

Приветствую!
Столкнулся с небольшой проблемой, голову сломал уже над ее разрешением
Дано: сеть 10.0.0.0, мой участок занимает в ней диапазон 10.41.0.0/18
Хотспот живет в выделенном вилане, 10.41.224/21
Маршрутизатор в моем сегменте - 10.41.0.100

Нужно чтоб клиенты 224 вилана могли свободно идти в инет, а так же видели некоторые адреса в сети 10.41.0.0/18
Вся остальная сеть 10.0.0.0 им должна быть недоступна

Были заведены два адрес-листа Deny Office Network и Allow Office Network
Правилом
/ ip firewall filter add chain=forward src-address-list=Deny Office Network action=drop comment="Deny Office Network" disabled=no
Я перекрыл всю десятую сеть

Вопрос - какие теперь в файерволл добавить правила, разрешающие всем пользователям доступ к шлюзу и к некоторым адресам, входящим в Allow Office Network?


Аватара пользователя
simpl3x
Модератор
Сообщения: 1532
Зарегистрирован: 19 апр 2012, 14:03

10 янв 2013, 13:49

из контекста не ясно, что такое Deny Office Network
Правилом
/ ip firewall filter add chain=forward src-address-list=Deny Office Network action=drop comment="Deny Office Network" disabled=no

эта фраза предполагает что вы закрыли доступ ОТ списка Deny Office Network
НО
Я перекрыл всю десятую сеть

говорит о том, что Deny Office Network это 10.0.0.0/8, или я чего то не понимаю. в любом случае, я бы сделал так:

Код: Выделить всё

/ip firewall filter add chain=forward src-address=10.41.224.0/21 dst-address-list="Allow Office Network" action=accept comment="Allow Office Network" disabled=no
/ip firewall filter add chain=forward src-address=10.41.224.0/21 dst-address=10.41.0.100 action=accept comment="Allow GW" disabled=no
/ip firewall filter add chain=forward src-address=10.41.224.0/21 dst-address=10.0.0.0/8 action=drop comment="Deny 10.0.0.0/8" disabled=no
/ip firewall filter add chain=forward src-address=10.41.224.0/21 action=drop comment="Allow another routing 0.0.0.0/0" disabled=no

1. резрешает "а так же видели некоторые адреса в сети 10.41.0.0/18"
2. разрешает "разрешающие всем пользователям доступ к шлюзу" "10.41.0.100"
3. запрещает "Вся остальная сеть 10.0.0.0 им должна быть недоступна"
4. разрешает весь остальной роутинг =) чтобы жилось в интернете.


Indy
Сообщения: 40
Зарегистрирован: 17 дек 2012, 05:19

10 янв 2013, 22:43

Спасибо большое!
только один нюанс
точно так?

/ip firewall filter add chain=forward src-address=10.41.224.0/21 action=drop comment="Allow another routing 0.0.0.0/0" disabled=no

4. разрешает весь остальной роутинг =) чтобы жилось в интернете.


Может всё таки
/ip firewall filter add chain=forward src-address=10.41.224.0/21 action=accept comment="Allow another routing 0.0.0.0/0" disabled=no

?


Indy
Сообщения: 40
Зарегистрирован: 17 дек 2012, 05:19

10 янв 2013, 23:55

И еще, так сказать - последний штрих на данном этапе - а вдруг умеет как то ;)
Пользовтаелям хотспота суточный лимит потребляемого трафика будет ограничен. Ибо канал не резиновый, а спутниковый.
Есть ли возможность не учитывать трафик, потребляемый клиентами с сети 10.0.0.0/8, то есть из группы Allow Office Network?

PS: обход сделал с помощью Walled Garden. Но это если не аутентифицировать пользователя.. А аутентифицированных ... надо попробовать перемаркировку пакетов сделать.. наверное.. :?


Аватара пользователя
simpl3x
Модератор
Сообщения: 1532
Зарегистрирован: 19 апр 2012, 14:03

11 янв 2013, 07:12

Indy, да, copy-paste не сработал =)

а пустить пользователей мимо хот спот? или сделать им другой профиль пользователя, с другими квотами? или пустить их на другой хот спот?


Indy
Сообщения: 40
Зарегистрирован: 17 дек 2012, 05:19

11 янв 2013, 07:29

Мммм... тут будет как.. если не логинить и через валлед-гарден - то всё ок, траффик не считается
Но поскольку лишнее движение мышкой для среднестатистического юзера - это головная боль, то пытаемся минимизировать им эти телодвижения, исходим из того, что пользователь будет всегда залогинен на хотспот
Ну, в крайнем случае - до нужных сервером пробросим нужный вилан и сетевую карту в 224 сеть, благо всё виртуализовано, никаких проблем с этим не будет. Если я правильно понимаю - внутри 10.41.224.0/21 трафик у пользователей не должен же считаться, так как он минуя хотспот идти будет, так?


Аватара пользователя
simpl3x
Модератор
Сообщения: 1532
Зарегистрирован: 19 апр 2012, 14:03

11 янв 2013, 10:46

Но поскольку лишнее движение мышкой для среднестатистического юзера - это головная боль, то пытаемся минимизировать им эти телодвижения, исходим из того, что пользователь будет всегда залогинен на хотспот
Ну, в крайнем случае - до нужных сервером пробросим нужный вилан и сетевую карту в 224 сеть, благо всё виртуализовано, никаких проблем с этим не будет.

ну так и пустите его мимо hotspot, если ему мышкой двигать лень.

Если я правильно понимаю - внутри 10.41.224.0/21 трафик у пользователей не должен же считаться, так как он минуя хотспот идти будет, так?


ну из тех настроек что я написал выше, это не очевидный вывод. все будет зависеть от того, как эти правила будут расположены относительно правил авторизации. вы можете например 1,2,3 поставить перед правилами хотспот, а 4 вообще убрать. четких правил в этом нет, главное не ошибиться с порядком правил.


Indy
Сообщения: 40
Зарегистрирован: 17 дек 2012, 05:19

11 янв 2013, 22:46

Понял, спасибо
Будем экспериментировать


Indy
Сообщения: 40
Зарегистрирован: 17 дек 2012, 05:19

27 фев 2013, 08:14

Умеет ли микротик организовывать блэк и вайт листы по портам? Чтоб не рисовать на каждую группу пользователей одинаковые правила, а создать 2 списка (разрешенных и запрещенных) и юзать их в файерволле по надобности?


gmx
Сообщения: 2324
Зарегистрирован: 01 окт 2012, 14:48

27 фев 2013, 15:08

Если речь про IP адреса то может, смотрите вкладку Address Lists.


Ответить