Страница 1 из 3
Блокировка Интернета
Добавлено: 12 окт 2015, 07:03
Elevyr
Есть локальная сеть на 50 компьютеров, микротик раздаёт адреса по dhcp, некоторые превращены в микротике в статические.
Как некоторым пользователям заблокировать доступ в интернет? Есть в микротике уже встроенная функция для этого (типа Enable - Disable) или надо что-то изобретать?
Re: Блокировка Интернета
Добавлено: 12 окт 2015, 07:05
vqd
В фильтрах создаем правило на форварде и по адрес листу дропаем соединения наружу
Re: Блокировка Интернета
Добавлено: 12 окт 2015, 07:09
Elevyr
vqd писал(а):В фильтрах создаем правило на форварде и по адрес листу дропаем соединения наружу
Значит изобретать...
Re: Блокировка Интернета
Добавлено: 12 окт 2015, 07:12
vqd
а в чем изобретение то заключается?
Ну да в микротик разработчики дали инструмент что бы можно было выше описанную функцию сделать самостоятельно и как надо пользователю.
Re: Блокировка Интернета
Добавлено: 12 окт 2015, 07:40
Elevyr
vqd писал(а):а в чем изобретение то заключается?
Ну да в микротик разработчики дали инструмент что бы можно было выше описанную функцию сделать самостоятельно и как надо пользователю.
Ок, тогда можно в таком
http://habrahabr.ru/sandbox/67786/ виде, например, описать как это сделать?
Re: Блокировка Интернета
Добавлено: 12 окт 2015, 08:02
vqd
Как то так. Второе правило разумеется на самый верх
/ip firewall address-list add list=Block_list address=%usr_IP%
/ip firewall filter add chain=forward src-address-list=Block_list dst-address=!%NET% action=drop
Re: Блокировка Интернета
Добавлено: 13 окт 2015, 13:12
Vandal
Мне помогло такое решение:
Так сделайте последним самым правило запрещающее форвард всем, а выше этого правила разрешающие интернет определенному адрес листу. Разрешающих правила должно быть обязательно два, для входящего и исходящего трафика. Последним самым последним должно быть обязательно правило запрещающее всем форвард.
Консольный вариант
/ip firewall filter
add chain=forward dst-address-list=internet action=accept comment="Allow for user (in)"
add chain=forward src-address-list=internet action=accept comment="Allow for user (out)"
add chain=forward action=drop
И в ip firewall filter address-list создаете адрес лист internet с адресами кому разрешено.
Консольный вариант
/ip firewall address-list
add address=192.168.0.1 disabled=no list=internet
add address=192.168.0.2 disabled=no list=internet
add address=192.168.0.3 disabled=no list=internet
add address=192.168.0.4 disabled=no list=internet
и отталкиваясь от этого, мучаем списки
Re: Блокировка Интернета
Добавлено: 13 окт 2015, 14:40
gmx
Все это конечно, хорошо, но....
вы советуетесь или рекомендуете???
что делать с вашей схемой, если заблокировать нужно 5 компов, а разрешить доступ 100????
Мало того, офигительная ручная работа, так еще, в итоге огромный блок лист "положит" в одночасье любой роутер.
Не стоит преподносить/воспринимать первое найденное в интернете решение, как самое верное средство. Да, для дома, схема вполне рабочая, но для серьезных задач это не подойдет.
Вам выше было предложено наиболее эффективное решение.
Re: Блокировка Интернета
Добавлено: 13 окт 2015, 14:55
vqd
более того, если внутрисетевой трафик попадает в фаервол то эти 3 правила дропнут и его тоже.
Re: Блокировка Интернета
Добавлено: 21 окт 2015, 04:59
Elevyr
vqd писал(а):Как то так. Второе правило разумеется на самый верх
/ip firewall address-list add list=Block_list address=%usr_IP%
/ip firewall filter add chain=forward src-address-list=Block_list dst-address=!%NET% action=drop
%usr_IP% - IP-адрес компа пользователя, %NET% - имя сетевого интерфейса, смотрящего в инет?