Доброго времени суток.
Начальство поставило задачу сделать фильтрацию в 2х сетях по черному и белому списку.
Не смог найти нормальный мануал по настройке фаерволла на mikrotik.
Подскажите, знающие люди, как средствами роутера настроить фильтрацию интрнет ресурсов по белому списку?
Чем подробнее тем лучше, так же буду особо благодарен за ссылку на мануал по этому вопросу если есть. Спасибо.
Контентная фильтрация Mikrotik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
-
gmx
- Модератор
- Сообщения: 3416
- Зарегистрирован: 01 окт 2012, 14:48
Тема обсуждалась ни один раз. Не пробовали поиском пользоваться?
Итого: контекстная фильтрация в микротике хоть и реализуемая вещь, но трудоемкая и почти полностью ручная. Правда с белым списком проще, если только он не из 100000 строк состоит.
С белыми списками общий принцип такой:
1. Создаем правило: все запретить
add action=drop chain=forward
2. Создаем адрес лист со списком белых адресов.
Например,
add address=www.mail.ru list=spisokbelyi
Обратите внимание, микротик сам находит все IP адреса сервиса www.mail.ru.
3. Создаем правило
add address=www.mail.ru list=spisokbelyi
И поднимаем его выше запрещающего.
Все!
Итого: контекстная фильтрация в микротике хоть и реализуемая вещь, но трудоемкая и почти полностью ручная. Правда с белым списком проще, если только он не из 100000 строк состоит.
С белыми списками общий принцип такой:
1. Создаем правило: все запретить
add action=drop chain=forward
2. Создаем адрес лист со списком белых адресов.
Например,
add address=www.mail.ru list=spisokbelyi
Обратите внимание, микротик сам находит все IP адреса сервиса www.mail.ru.
3. Создаем правило
add address=www.mail.ru list=spisokbelyi
И поднимаем его выше запрещающего.
Все!
-
K1tosh
- Сообщения: 2
- Зарегистрирован: 20 ноя 2018, 13:54
Спасибо за информацию, но подобные ответы я уже находил. Самый главный вопрос который меня интересует:
Где? Понятно, что наверное в Tools->Firewall, но дальше то куда вписывать эти строчки? в какой вкладке писать правила? я с самим интерфейсом управления ни как не могу подружиться.
Заранее спасибо за ответ.
Где? Понятно, что наверное в Tools->Firewall, но дальше то куда вписывать эти строчки? в какой вкладке писать правила? я с самим интерфейсом управления ни как не могу подружиться.
Заранее спасибо за ответ.
-
anad
- Сообщения: 192
- Зарегистрирован: 24 ноя 2016, 21:14
несколько раз искал и не нашел: а можно ли как-то в скрипте в переменную/массив получить все значения DNS записи, а то получается только однаНапример,
add address=www.mail.ru list=spisokbelyi
Обратите внимание, микротик сам находит все IP адреса сервиса www.mail.ru.
-
gmx
- Модератор
- Сообщения: 3416
- Зарегистрирован: 01 окт 2012, 14:48
Увы нет!
Фаерволл находится в IP-Firewall, то, что мы обсуждаем находится во вкладке Filter Rules.
Все просто, переходите на эту вкладку. Нажимаете на синий плюс. В открывшемся окне на вкладке General, выбираете chain=forward, затем на вкладке Action выбираете action=drop. Нажимаете OK. Первое правило из моего примера создано.
Переходите во вкладку IP-Firewall-Address Lists. Нажимаете на синий плюс.
Далее: в Name пишите название списка, в моем примере это "spisokbelyi".
В поле address пишите домен, который нужно, чтобы работал. Нажимаете ОК.
Ну и так далее...
Да, забыл сказать, все это будет работать при условии, что микротик является шлюзом для ваших сетевых клиентов.