Запрет интернета и видео
Добавлено: 23 ноя 2017, 09:30
Привет!
Есть Mikrotik RB951ui-ND и требуется запретить интернет и просмотр видео, что-либо скачивать из интернета и т.п. оставить доступ только к:
1. сервер обновлений Микротик.
2. фтп сервер 88.225.123.12
3. сервер ofd.ru
4. сервер 1с
понимаю, что это как-то должно реализовываться в фаерволе с натом, но как не могу понять. Текущая конфигурация фаервола и ната такая:
/ip firewall filter
add action=accept chain=input dst-port=8291 in-interface=tap1-wan protocol=\
tcp
add action=accept chain=forward
add action=accept chain=input protocol=icmp
add action=accept chain=input connection-state=established,related
add action=drop chain=input in-interface=tap1-wan
add action=fasttrack-connection chain=forward connection-state=\
established,related
add action=accept chain=forward connection-state=established,related
add action=drop chain=forward connection-state=invalid
add action=drop chain=forward connection-nat-state=!dstnat connection-state=\
new in-interface=tap1-wan
add action=drop chain=input in-interface=tap1-wan
/ip firewall nat
add action=masquerade chain=srcnat out-interface=tap1-wan
add action=netmap chain=dstnat dst-port=5900 in-interface=tap1-wan protocol=\
tcp to-addresses=192.168.88.2 to-ports=5900
add action=netmap chain=dstnat dst-port=8291 in-interface=tap1-wan protocol=\
tcp to-addresses=192.168.88.1 to-ports=8291
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www-ssl disabled=no
set api disabled=yes
set api-ssl disabled=yes
Есть Mikrotik RB951ui-ND и требуется запретить интернет и просмотр видео, что-либо скачивать из интернета и т.п. оставить доступ только к:
1. сервер обновлений Микротик.
2. фтп сервер 88.225.123.12
3. сервер ofd.ru
4. сервер 1с
понимаю, что это как-то должно реализовываться в фаерволе с натом, но как не могу понять. Текущая конфигурация фаервола и ната такая:
/ip firewall filter
add action=accept chain=input dst-port=8291 in-interface=tap1-wan protocol=\
tcp
add action=accept chain=forward
add action=accept chain=input protocol=icmp
add action=accept chain=input connection-state=established,related
add action=drop chain=input in-interface=tap1-wan
add action=fasttrack-connection chain=forward connection-state=\
established,related
add action=accept chain=forward connection-state=established,related
add action=drop chain=forward connection-state=invalid
add action=drop chain=forward connection-nat-state=!dstnat connection-state=\
new in-interface=tap1-wan
add action=drop chain=input in-interface=tap1-wan
/ip firewall nat
add action=masquerade chain=srcnat out-interface=tap1-wan
add action=netmap chain=dstnat dst-port=5900 in-interface=tap1-wan protocol=\
tcp to-addresses=192.168.88.2 to-ports=5900
add action=netmap chain=dstnat dst-port=8291 in-interface=tap1-wan protocol=\
tcp to-addresses=192.168.88.1 to-ports=8291
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www-ssl disabled=no
set api disabled=yes
set api-ssl disabled=yes