Прошу помощи с файерволлом

Обсуждение ПО и его настройки
Indy
Сообщения: 40
Зарегистрирован: 17 дек 2012, 05:19

27 фев 2013, 22:40

Нет-нет, не по IP. Интересуют именно порты. Если провести аналогию с керио, то там вот так:
есть вкладка Services - в нее мы заносим список служб, например, WoT - TCP/UDP 20000-25000 , POP3 - TCP 110, VNC - TCP 5900 и т.д.
Traffic rules - создаем правила:
Office users - и добавляем сервисы, которые разрешены для офиса, типа почта, VNC, нетмитинг и т.д., остальное - под запретом, с офиса в танчики не погоняешь
Camp users - тут открываем игрушки, но перекрываем рабочие сервисы, ибо нефиг в рабочую сеть лазить с личных устройств
VIP users - с этими понятно, им разрешено всё и отовсюду, эти люди обычно адекватные и где попало не лазят ;)

Проблема в том, что Camp Users в моем случае состоят из 3 категорий: гости, silver и gold
гостям мы разрешаем всё по 80 порту (блэк-лист на сайты нарисован на сквиде, через который все идут в инет) и только гугль по 443
silver - 80, 443 + игровые, почтовые сервисы, а так же мэссенджеры
gold - то же, что и юзерам, только по 80 порту сняты на сквиде ограничения на сайты.

В керио не проблема, сервисы завел, группы пользователей - и в файерволле создал под каждую группу конкеретные правила

В микротике же приходится создавать отдельное правило для отдельного сервиса для отдельной группы пользователей - пример в аттаче, тут я начал заводить разрешенные сервисы для группы Silver.. Соответственно нечто подобное придется заводить отдельно и для gold
Согласитесь - не самый удобный вариант организации файерволла, в такой массе правил потеряться запросто

Собственно что интересует - нет ли в микротик механизмов, упрощающих это действо? Типа сперва завести сервисы отдельно, разбить их по группам, а потом в файерволле создать 2 правила на 2 группы пользователей, в которые войдут эти сервисы.

Можно, конечно, запулить одо правило, в котором перечислить все TCP порты, сдублировать его - и сделать все порты UDP, ну, чтоб всё в куче было. Но согласитесь, это не очень удобно, тупо номера портов ничего никому не скажут. Завтра я уволюсь, прийдет другой сисадмин - и помянет меня тихим добрым словом за такое. А когда порты подписаны, какие для чего - с ними и работать удобнее.


Ответить