Объявление

Свернуть
Пока нет объявлений.

Вопросы по Mikrotik OS, RouterBoard и похожие.

Свернуть
Это закреплённая тема.
X
X
Свернуть
 
  • Страница из 73
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения
Предыдущая 1 14 21 22 23 24 25 26 27 34 73 template Следующая
    #346
    Для каждой машины можно записать примерно так:
    ip firewall filter add chain=forward dst-address=192.168.1.50/32 protocol=tcp src-port=21-23,80,443,1119,1200,2106,3724,6112,6881-6999,7777,27000-27039 action=accept
    вот и перечисляй порты какие нужны для каждой машины по отдельности.
    а последним правилом напиши
    ip firewall filter add chain=forward action=drop

    Комментарий

      #347
      если включаю правило: ip firewall filter add chain=forward action=drop
      инета нету, аська работает при условии что уже авторизована, всё остальное неможет получить доступ в инет.
      чтот нетак
      Я бы изменил мир! Но где взять исходники?

      Комментарий

        #348
        На память пишу, мож где и ошибся в синтаксисе, но смысл такой:
        ip firewall filter add chain=forward src-address=твоя_подсеть/24 protocol=tcp dst-port=!21-23,80,443,1119,1200,2106,3724,6112,6881-6999,7777,27000-27039 action=drop
        Описание: нужно заблокировать все соединения по всем портам исключая те, которые приведены в списке

        Комментарий

          #349
          Сообщение от malou05 Посмотреть сообщение
          если включаю правило: ip firewall filter add chain=forward action=drop
          инета нету, аська работает при условии что уже авторизована, всё остальное неможет получить доступ в инет.
          чтот нетак
          этим правилом ты блокируешь любые НОВЫЕ соедиения

          Комментарий

            #350
            alexandrov, спасибо! всё заработало.
            мне надо дать неограниченній доступ в интернет для некоторіх машин.
            такое правило подойдёт?
            ip firewall filter add chain=forward dst-address=192.168.1.10/24 action=accept
            Я бы изменил мир! Но где взять исходники?

            Комментарий

              #351
              Сообщение от malou05 Посмотреть сообщение
              alexandrov, спасибо! всё заработало.
              мне надо дать неограниченній доступ в интернет для некоторіх машин.
              такое правило подойдёт?
              ip firewall filter add chain=forward dst-address=192.168.1.10/24 action=accept
              нет. открой IP->Firewall->Address List. Там нажми плюс, в поле имя вбей, например unlimited, и в поле ип адрес вбей ип человека, кому нужно дать неограниченный доступ. И так сделай для каждого ип адреса. В итоге у тебя будет создан список ип адресов, которым ты даёшь неограниченный доступ. Далее модифицируй моё правило следующим образом. Открой его в винбоксе и открой вторую вкладку. Там сверху есть параметр Src.Addres List. Вот выбирай тут свой список unlimited и ставь знак !
              Таким образом, правило, которое блокирует порты будет действовать для всех, кроме ип-адресов из списка unlimited

              Если не заработает, то очисти поле src-address в первой вкладке.

              // щас под рукой нет микротика. Поэтому правило может не работать. Так что, как поэксперементируешь, напиши о резултатах - помогу чем смогу

              Комментарий

                #352
                заработало. но мне надо чтобы "работать"(разрешить порты) по каждой машине отдельно, так что буду пользоваться предыдущим правилом.
                есть одна незадача: машины для которых непрописано ниодного правила могут спокойно ходить в инет, как можно запретить всем остальным(кому неуказаны правила выше) ЛЮБОЙ доступ к интернету (но внутри сети свободный доступ, вся сеть будет соединена с роутером посредством свича)
                Я бы изменил мир! Но где взять исходники?

                Комментарий

                  #353
                  Сообщение от malou05 Посмотреть сообщение
                  заработало. но мне надо чтобы "работать"(разрешить порты) по каждой машине отдельно, так что буду пользоваться предыдущим правилом.
                  есть одна незадача: машины для которых непрописано ниодного правила могут спокойно ходить в инет, как можно запретить всем остальным(кому неуказаны правила выше) ЛЮБОЙ доступ к интернету (но внутри сети свободный доступ, вся сеть будет соединена с роутером посредством свича)
                  Вариант №1. Создать списки ип-адресов в IP Firewall Address List тех, кому нужен инет полностью (unlimited) и тем кому обрезанный (limited). Ип адреса, которые не попали в списки - им доступ блокируется.

                  Вариант №2. Создать список тех, кому запретить доступ в инет

                  Какой вариант тебе ближе. Выбирай. Помогу с правилами

                  Комментарий

                    #354
                    Сообщение от alexandrov Посмотреть сообщение
                    Вариант №1. Создать списки ип-адресов в IP Firewall Address List тех, кому нужен инет полностью (unlimited) и тем кому обрезанный (limited). Ип адреса, которые не попали в списки - им доступ блокируется.

                    Вариант №2. Создать список тех, кому запретить доступ в инет

                    Какой вариант тебе ближе. Выбирай. Помогу с правилами
                    Вариант №1 интереснее но мне походу надо будет создавать четыре списка limited. наверно тогда проще вариант 2 где надо создать только один список.

                    и если можно я гдето встречал команду которой меняются местами правлиа (меняем порядковый номер)
                    Я бы изменил мир! Но где взять исходники?

                    Комментарий

                      #355
                      Ты лучше распиши подробнее чего ты хочешь получить в итоге, а мы тут уж тебе поможем встать на путь истинный :)

                      Комментарий

                        #356
                        значит получается так: есть сеть, для некоторых машин надо дать доступ только к почте (порты 25 и 110), другим надо дать ещё и http, https, icq (порты 80,443,5190, и почта 25,110) есть ещё машинка кому надо дать только порт 443 на ІР 194.44.50.101 и 194.44.50.102(ето Авалевский клиент-банк (Райффайзен-банк "Аваль")) и на последок 3 машины пустить в инет безовсяких ограничений, + порезать канал: для всех гарантировано минимально 64к, для машин с анлимом и той где стоит клиент-банк минимальная гарантированная скорость 256к (чтоб скорость была динамической при отсутствии кого либо из пользователей его канал чтоб делился на активных). ну и задавить напрочь р2р. есть ещё пользователи которым интернет "противопоказан".
                        Вроде всё.
                        Сечас реализовал: разрешить для конкретной машины определённые порты, ужал до минимума р2р.
                        Осталось: разрешить клиентбанку ходить на определённые айпи, порезать скорость, и закрыть инет для тех кому он противопоказан
                        Я бы изменил мир! Но где взять исходники?

                        Комментарий

                          #357
                          Тогда вопрос в следующем: сколько машин будет в каждой группе, хотяб примерно. Просто исходя из кол-во машин, можно подумать над оптимизаций правил

                          Комментарий

                            #358
                            4(там где анлим), 7(лимит), 9(ето у кого только почта) и 10(кому инет вообще противопоказан) машин, машина с клиент-банком одна.
                            Я бы изменил мир! Но где взять исходники?

                            Комментарий

                              #359
                              Сообщение от malou05 Посмотреть сообщение
                              4(там где анлим), 7(лимит), 9(ето у кого только почта) и 10(кому инет вообще противопоказан) машин, машина с клиент-банком одна.
                              Советую сделать так:
                              0. Удалить все созданные правила, чтобы доступа в интернет ни у кого не было
                              1. Создать списки ип-адресов, в соответствии с твоими требованиями, а именно - unlimit (анлим), limit (лимит), mail (почта), bank (клиент банк). В каждый список занести ип адреса машин.
                              2. Создать четыре правила, которые будут разрешать и одновременно регулировать доступ в интернет
                              Код:
                              ip firewall nat add action=masquerade chain=srcnat disabled=no src-address-list=unlim
ip firewall nat add action=masquerade chain=srcnat disabled=no dst-port=25,80,110,443,5190 protocol=tcp src-address-list=limit
ip firewall nat add action=masquerade chain=srcnat disabled=no dst-port=25,110 protocol=tcp src-address-list=mail
ip firewall nat add action=masquerade chain=srcnat disabled=no dst-address=194.44.50.100/30 dst-port=443 protocol=tcp src-address-list=bank

                              Комментарий

                                #360
                                Подскажите плиз где можно взять OC Mikrotik, или кто может дать-продать, ну чтобы с ключами или лицензией, в общем чтобы поставил и работала? Уже 3 дня копаю и по форуму и так, гугль меня уже боится:) Здесь hex бросал ссылки я поскачивал все но и это не ставится (мож железо не подходит) правда поставилась версия 5.0 но ключей не нашел. помогите плиз.

                                Комментарий

                                Предыдущая 1 14 21 22 23 24 25 26 27 34 73 template Следующая
                                Обработка...
                                X