+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Как заблокировать по IP или MAC-адресу?

Как заблокировать по IP или MAC-адресу?, RouterOS

zong

Guest

29.09.2005 12:15:00

Привет всем! Нужна помощь. Я уже установил и настроил MT с DNS, шлюз правильно, и теперь все пользователи в нашей сети могут подключаться к интернету. Может кто-нибудь помочь пошагово, как ограничить пользователей по IP/Mac адресу? Моя конфигурация такая: INTERNET | | Mikrotik ether0 192.168.0.100 ether1 10.97.20.100 → Клиент 10.97.20.25 DNS:202.134 GW:10.97.20.100 DNS: 202.134.x.x Gateway:192.168.0.254 —>Клиент 10.97.20.98 DNS :202.134.x.x gateway:10.97.20.100 Сейчас оба клиента могут просматривать сайты. Как заблокировать клиенту 10.97.20.98 доступ к роутеру?? Нужна помощь..

zong Guest	#2 0 30.09.2005 03:21:00 ip firewall rule forward> добавить src-address=10.97.20.98/16 src-mac-address=00:00:00:00:00:00 action=drop уже указана маска сети, но проблема все та же: "Неверный источник". Есть еще какие-нибудь предложения?

larmaid Guest	#3 0 30.09.2005 03:50:00 Правило брандмауэра IP, пересылка>добавить src-address=10.97.20.98/32 действие=отбрасывать протокол=все

zong

Guest

30.09.2005 07:40:00

Спасибо, larmaid и всем остальным, теперь работает, но может, есть способ лучше? Я вот думал, ну как же быть, если пользователей много, например, 100, мне их по одному блокировать? Как правильно: сначала заблокировать всех, а потом разблокировать тех, кому нужно дать доступ?

the_time

Guest

30.09.2005 08:24:00

Например, если вы хотите заблокировать класс 10.97.20.x и разрешить доступ только некоторым из них, это можно сделать так:
`ip firewall rule forward add src-address=10.97.20.98/32 action=acept`
`ip firewall rule forward add action=drop`
Последнее правило заблокирует всё. Если вы хотите, чтобы клиенты имели доступ после установки этого правила, сделайте так:
`ip firewall rule forward add src-address=10.97.20.x/32 action=acept place-before=0`

Надеюсь, это поможет.

larmaid

Guest

30.09.2005 11:55:00

Да, думаю, так и есть… Нужно заблокировать весь диапазон IP в правиле переадресации, поставить его сверху, а затем указать нужный IP в правиле переадресации для приема трафика. Но если IP для приема тот же самый (10.10.2.0-10.10.2.254), то пиши один раз!

zong

Guest

30.09.2005 14:09:00

Если я заблокирую все IP-адреса в списке, а затем разрешу конкретный, система заблокирует все IP и не сможет подключиться ни к одному? Кстати, как блокировать или разрешать для диапазона IP-адресов? Я хочу заблокировать/разрешить, например, адрес 10.97.20.50/32 - 10.97.20.90/32. Или, может быть, есть более простой способ?

bholler

Guest

30.09.2005 15:55:00

Привет, Zong! К сожалению, тут ничего волшебного сделать нельзя… разве что есть какой-нибудь скрипт (о котором я пока не знаю), который бы сделал это автоматически. Если тебе нужна автоматизация, то потребуется RADIUS, который будет указывать временной диапазон для определенного MAC-адреса (если ты используешь RADIUS MAC).

В качестве альтернативы (вручную) и согласно предыдущим командам, которые я тебе давал: указывай в цепочке перенаправления /ip firewall rule forward add address=10.97.20.90/32 action=accept (повтори это для всех хостов, которые нужно разрешить, и расположи их выше правил, которые я укажу ниже... комментарии тоже могут помочь тебе отсортировать правильные IP для нужных хостов) /ip firewall rule forward add address=10.97.20.0/24 action=drop (/24, если это твоя маска подсети... это заблокирует пакеты от любого другого IP-хоста в сети). Надеюсь, это решит твою проблему… и если у кого-нибудь есть какие-то лучшие идеи, давай их тоже рассмотрим.

bholler Guest	#9 0 30.09.2005 16:08:00 Исправление моего командного ряда: /ip firewall rule forward add src-address=10.97.20.90/32 action=accept /ip firewall rule forward add src-address=10.97.20.0/24 action=drop

larmaid

Guest

#10

01.10.2005 03:11:00

Ладно… есть способ…! Но сначала нужно установить hotspot! Если он уже установлен, то:
1. Сначала удали все правила в dst-nat.
2. Напиши IP-адрес, который хочешь разрешить, в поле "forward" вверху. Эх, забыл, как считать диапазон IP-адресов…!
3. А потом напиши это правило, если клиент должен сначала залогиниться на странице входа: зайди в Winbox -> сделай вот это:
1. Добавь src-address (10.10.aa.0/24) к которому хочешь перенаправить, dst-port=53, protocol=udp, in.interface=all, action=redirect laennya default.
2. Добавь src-address (10.10.aa.0/24), in.interface=lan, protocol=tcp, flow=hs-auth, action=redirect to dst.port=80.

Если клиент не хочет сначала залогиниться, то пункт 3 не нужен, но если ты это сделал, то придется залогиниться через Winbox…!

proxy Guest	#11 0 29.09.2005 17:47:00 ip firewall rule forward> add src-address=10.97.20.98 src-mac-address=00:00:00:00:00 action=drop Добавил правило в цепочку пересылки файрвола. Блокирует трафик с IP-адреса 10.97.20.98 и MAC-адреса 00:00:00:00:00.

zong Guest	#12 0 30.09.2005 01:54:00 Уже пробовал, но появляется сообщение об ошибке: "Source Bad". Какие еще есть идеи? Кстати, я использую Mt 2.7.14.

cabana Guest	#13 0 30.09.2005 02:28:00 Похоже, тебе нужно проверить маску в исходном адресе, что-то вроде 10.97.20.98/32.

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры