sanek100 Posted February 1, 2015 (edited) · Report post Здравствуйте, помогите с настройками я прописываю такое правило /ip firewall filter add chain=forward protocol=tcp src-address =192.168.88.236 dst-address=31.13.60.70 action=drop Сайты блокируются за исключением того что мне надо, но в месте с этим еще и блокируется Skype, а мне необходимо чтобы был доступ только к одному сайту и к Skype, что я делаю не так? Edited February 1, 2015 by sanek100 Share this post Link to post Share on other sites
ChargeSet Posted February 1, 2015 · Report post Все так. Добавьте еще одно правило и разрешите скайп Share this post Link to post Share on other sites
sanek100 Posted February 1, 2015 · Report post ххм, в том то и дело что я не пойму как разрешить скайп, по каким портам Share this post Link to post Share on other sites
ChargeSet Posted February 1, 2015 · Report post http://community.skype.com/t5/%D0%9E%D0%B1%D1%89%D0%B8%D0%B9-%D0%A4%D0%BE%D1%80%D1%83%D0%BC/IP-%D0%B0%D0%B4%D1%80%D0%B5%D1%81%D0%B0-%D1%81%D0%B5%D1%80%D0%B2%D0%B5%D1%80%D0%BE%D0%B2-Skype-%D0%B4%D0%BB%D1%8F-%D0%BD%D0%B0%D1%81%D1%82%D1%80%D0%BE%D0%B9%D0%BA%D0%B8-Firewall/td-p/236842 Share this post Link to post Share on other sites
sanek100 Posted February 1, 2015 (edited) · Report post Что то не получается, прописываю /ip firewall address-list add address=213.146.167.55 list=Skype9010 add address=193.120.212.58 list=Skype9010 add address=77.67.32.58 list=Skype9010 add address=193.120.212.29 list=skypehttp add address=213.146.167.26 list=skypehttp /ip firewall filter add chain=forward dst-address-list=Skype9010 out-interface=P-T-K protocol=tcp src-address=192.168.88.236 action=accept /ip firewall filter add chain=forward dst-address-list=skypehttp out-interface=P-T-K protocol=tcp src-address=192.168.88.236 action=accept Edited February 1, 2015 by sanek100 Share this post Link to post Share on other sites
ChargeSet Posted February 1, 2015 · Report post попробуйте переписать фильтр для работы не по IP, а по доменному имени, firewall filter с этим, по-моему, справляется под нагрузкой, поэтому можно попробовать сделать средствами прокси. Схему проверить не могу, так что лучше проверьте на стенде сначала Включаем прокси /ip proxy set enabled=yes port=8080 Делаем его прозрачным и говорим микротику, для кого используется прокси: /ip firewall nat add chain=dstnat protocol=tcp src-address=192.168.88.236 dst-port=80 action=redirect to-ports=8080 Вносим разрешение на сайт: /ip proxy access add dst-host=nag.ru action=allow Запрещаем все остальные следующим правилом: /ip proxy access add dst-host=*.* action=deny Скайп не работает с хост-именами, поэтому ему будет глубоко пофиг на этот прокси Share this post Link to post Share on other sites
