+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Блокировать подсеть от всего, кроме доступа в интернет?

Блокировать подсеть от всего, кроме доступа в интернет?, RouterOS

krg

Guest

22.12.2013 20:31:00

Привет! После долгих мучений у меня заработал роутер с тремя беспроводными сетями: личная, vipguests и guests. Но я застрял на последнем шаге — блокировке всего, кроме доступа в интернет и логина в hotspot, для двух гостевых сетей. Пока что гостям не удается достучаться до личной подсети, но они все еще видят webfig роутера. Я бы хотел быть уверенным, что кроме интернета ничего не работает. Я уже дважды заблокировал себя окончательной командой "сбросить все правила" и буду очень благодарен за помощь! Вот что у меня сейчас: /ip firewall address-list add address=172.20.3.0/24 list=vipguests add address=192.168.45.0/24 list=guests add address=10.23.5.0/24 list=private /ip firewall filter add action=passthrough chain=unused-hs-chain comment=“place hotspot rules here” disabled=yes add action=drop chain=forward dst-address-list=private src-address-list=landsort add action=drop chain=forward dst-address-list=private src-address-list=utklippan add chain=input comment=“default configuration” protocol=icmp add chain=input comment=“default configuration” connection-state=established add chain=input comment=“default configuration” connection-state=related add action=drop chain=input comment=“default configuration” in-interface=ether1-gateway add chain=forward comment=“default configuration” connection-state=established add chain=forward comment=“default configuration” connection-state=related add action=drop chain=forward comment=“default configuration” connection-state=invalid /ip firewall nat add action=passthrough chain=unused-hs-chain comment=“place hotspot rules here” disabled=yes add action=masquerade chain=srcnat comment=“default configuration” out-interface=ether1-gateway add action=masquerade chain=srcnat comment=“masquerade hotspot network” src-address=172.20.3.0/24 add action=masquerade chain=srcnat comment=“masquerade hotspot network” src-address=192.168.45.0/24

aaronhun22 Guest	#2 0 23.12.2013 23:51:00 Это заблокирует все запросы к Webmin (предполагается, что он всё ещё на порту 80) с сети 172.20.3.0/24. ip firewall filter add chain=input protocol=tcp port=80 src-address-list=vipguests action=drop

krg Guest	#3 0 25.12.2013 21:04:00 Я бы предпочёл полностью заблокировать их, со всех портов. Но всё же позволить им получить доступ к 192.168.45.1:80 и 172.20.3.1:80 для аутентификации точки доступа. И я понимаю, что все они, 10.23.5.1, 172.20.3.1 и 192.168.45.1 находятся на одном компьютере. Я внес изменения, добавил мосты вместо address-lists, и похоже, могу заблокировать их полностью из сети 10.23.5.0/24. Но, они всё равно доходят до 10.23.5.1!? Пожалуйста, посмотрите вывод ниже: /ip firewall filter add chain=input comment="Accept established input" connection-state=established add chain=input comment="Accept related input" connection-state=related add chain=input comment="Accept ICMP input" protocol=icmp add chain=input comment="Accept MikroTik Neighbour Discovery" dst-address=255.255.255.255 dst-port=5678 protocol=udp Принимает DHCP и DNS от гостей add chain=input dst-port=67,53 in-interface=bridge-guests protocol=udp add chain=input dst-port=67,53 in-interface=bridge-vipguests protocol=udp add chain=input dst-port=53 in-interface=bridge-vipguests protocol=tcp add chain=input dst-port=53 in-interface=bridge-guests protocol=tcp Эти правила отключены, но они всё равно могут получить доступ к аутентификации точки доступа на порту 80… add chain=input comment="Let guests authenticate to hotspotserver" disabled=yes dst-address=192.168.45.1 dst-port=80 protocol=tcp add chain=input disabled=yes dst-address=172.20.3.1 dst-port=80 protocol=tcp "Записывать в лог/блокировать гостей, подключающихся к роутеру" add action=log chain=input in-interface=bridge-guests log-prefix=Guest->router add action=log chain=input in-interface=bridge-vipguests log-prefix=Guest->router add action=drop chain=input in-interface=bridge-guests add action=drop chain=input in-interface=bridge-vipguests add action=drop chain=input comment="default configuration" in-interface=ether1-gateway add chain=forward comment="default configuration" connection-state=established add chain=forward comment="default configuration" connection-state=related "Записывать в лог/блокировать гостей, подключающихся к bridge-private" add action=log chain=forward in-interface=bridge-guests log-prefix=Guest->privat out-interface=bridge-private add action=log chain=forward in-interface=bridge-vipguests log-prefix=Guest->privat out-interface=bridge-private add action=drop chain=forward in-interface=bridge-guests out-interface=bridge-private add action=drop chain=forward in-interface=bridge-vipguests out-interface=bridge-private add action=drop chain=forward comment="Dont forward invalid packets" connection-state=invalid Буду очень признателен за помощь, я думаю, что это очень близко =)

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры