+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Можно ли ограничить доступ к webfig до одной сети/порта на устройстве?

Можно ли ограничить доступ к webfig до одной сети/порта на устройстве?, RouterOS

kodiak

Guest

13.01.2014 17:14:00

Устройство: CRS125 ОС: 6.7. Не мог бы кто-нибудь показать, как ограничить доступ к WebFig только для одного интерфейса/сети? Цель — сделать ether1 линком, ether2 – "сеть доступа для управления", которая сможет зайти в WebFig, а ether3-24 — выделив для других сетей, которым доступ к WebFig не нужен. Спасибо!

efaden

Guest

13.01.2014 18:23:00

Всё зависит от того, как настроена твоя сеть, но можно сделать это разными способами. Пришли свой экспорт +/- схему сети. Но самый простой способ — просто использовать файрвол, чтобы заблокировать доступ к webfig через input chain… но если у тебя есть vlans и прочее, то можно также заблокировать доступ в /ip services, чтобы он был доступен только с нужного IP-адреса. Кстати, у тебя много вопросов… если тебе нужна более прямая поддержка, ты всегда можешь написать мне напрямую (бесплатно, если у меня будет время, или ты можешь нанять меня на какое-то время для написания скриптов конфигурации и т.д.). -Eric

kodiak

Guest

13.01.2014 18:34:00

Привет, спасибо, Эрик. Вопросы, наверное, утихнут, когда я налажу свою сеть. Пока что всё в основном на стадии подготовки к замене существующего ядра на CRS, который пришёл в пятницу. Да, пытаюсь разобраться со всеми новыми опциями и возможностями, которые появляются, когда у меня вместо DD-WRT настоящий роутер для лаборатории. Скорее всего, сделаю это в файрволе, так как неплохо разбираюсь в правилах iptables. Не знал, есть ли что-то ещё в webfig, кроме простого создания правил iptables, чего я мог упустить.

efaden Guest	#4 0 13.01.2014 18:36:00 Под IP>Services можно ограничить доступ по диапазону IP… но, честно говоря, способ с файрволом надежнее.

c0d3rSh3ll Guest	#5 0 13.01.2014 18:44:00 Для достижения этой цели у тебя есть несколько способов. Самый простой — с помощью файрвола, например, так: /ip firewall filter add chain=input src-address=192.168.2.0/24 action=drop. Это правило блокирует все соединения с твоим устройством из сети 192.168.2.0/24. Если нужно заблокировать только доступ по HTTP, добавь это правило: /ip firewall filter add chain=input src-address=192.168.2.0/24 action=drop protocol=tcp dst-port=80. Отправлено с моего мобильного телефона с помощью Tapatalk.

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры