Страница 1 из 1
Запретить интернет для всех
Добавлено: 13 июл 2018, 14:01
Rubiks
Здравствуйте. Подскажите пж как правильно запретить инет всем и разрешить только один сайт
Firewall -> address lists
http://prntscr.com/k607ge
Запрещающее правило:
1.
http://prntscr.com/k606m9
2.
http://prntscr.com/k606w2
3.
http://prntscr.com/k6070j
Разрешающее правило:
1.
http://prntscr.com/k607pm
2.
http://prntscr.com/k607xl
3.
http://prntscr.com/k6083h
Сайт который разрешен очень долго загружаться если убрать правила все работает корректно.
Re: Запретить интернет для всех
Добавлено: 13 июл 2018, 14:53
Jukilo
1. разрешающее правило должно быть перед запрещающим
2. В разрешающем у вас src=site dst=pc, для исходящих соединений надо наоборот
3. Фильтровать сайты по ip в условиях современного web - плохая идея. лучше по l7
Код: Выделить всё
/ip firewall layer7
add name=url-any regexp="^.+\$"
add name=url-gmail regexp="^.+gmail|google.com|google.ru|googleusercontent|gstatic).*\$"
/ip firewall filter
add chain=forward scr-address-list=only-gmail action=jump jump-target=forward-gmail
add chain=forward-gmail layer7=url-gmail action=accept
add chain=forward-gmail layer7=url-any action=reject
Делал так. Говорят, что ресурсоемко так l7 гонять, но я проблем с производительностью не видел.
Re: Запретить интернет для всех
Добавлено: 14 июл 2018, 19:39
Rubiks
Если сделать так как вы предлагаете то инет на все машинах.
Мне нужно
1. Запретить инет и разрешить только несколько сайтов
Re: Запретить интернет для всех
Добавлено: 14 июл 2018, 21:05
podarok66
Создаём адрес-лист Goodsite и заносим туда сайты, которые разрешены для посещения
Код: Выделить всё
/ip firewall address-list add address=google.ru list=Goodsite
/ip firewall address-list add address=yandex.ru list=Goodsite
Два правила в фильтры (два, потому что я тут имел прецедент, когда при запрещенном tcp протоколе работал тот же youtube, я немного офигел даже):
Код: Выделить всё
/ip firewall filter
add action=reject chain=forward dst-address-list=!Goodsite protocol=tcp reject-with=tcp-reset src-address=192.168.88.0/24
add action=drop chain=forward dst-address-list=!Goodsite protocol=udp src-address=192.168.88.0/24
Re: Запретить интернет для всех
Добавлено: 15 июл 2018, 00:09
Rubiks
google.com вообще не загружается, а тот сайт что нужен загружается без стилей
Re: Запретить интернет для всех
Добавлено: 15 июл 2018, 22:14
podarok66
Rubiks писал(а): ↑15 июл 2018, 00:09
google.com вообще не загружается
У меня в примере был google.ru, меня адресует именно на него при обращении к Гуглу. У меня дома всё работает, я так своим ребятам доступ в интернет прикрываю, мотивирую на учебу
