sanek100 Posted February 1, 2015 Posted February 1, 2015 (edited) Здравствуйте, помогите с настройками я прописываю такое правило /ip firewall filter add chain=forward protocol=tcp src-address =192.168.88.236 dst-address=31.13.60.70 action=drop Сайты блокируются за исключением того что мне надо, но в месте с этим еще и блокируется Skype, а мне необходимо чтобы был доступ только к одному сайту и к Skype, что я делаю не так? Edited February 1, 2015 by sanek100
ChargeSet Posted February 1, 2015 Posted February 1, 2015 Все так. Добавьте еще одно правило и разрешите скайп
sanek100 Posted February 1, 2015 Author Posted February 1, 2015 ххм, в том то и дело что я не пойму как разрешить скайп, по каким портам
ChargeSet Posted February 1, 2015 Posted February 1, 2015 http://community.skype.com/t5/%D0%9E%D0%B1%D1%89%D0%B8%D0%B9-%D0%A4%D0%BE%D1%80%D1%83%D0%BC/IP-%D0%B0%D0%B4%D1%80%D0%B5%D1%81%D0%B0-%D1%81%D0%B5%D1%80%D0%B2%D0%B5%D1%80%D0%BE%D0%B2-Skype-%D0%B4%D0%BB%D1%8F-%D0%BD%D0%B0%D1%81%D1%82%D1%80%D0%BE%D0%B9%D0%BA%D0%B8-Firewall/td-p/236842
sanek100 Posted February 1, 2015 Author Posted February 1, 2015 (edited) Что то не получается, прописываю /ip firewall address-list add address=213.146.167.55 list=Skype9010 add address=193.120.212.58 list=Skype9010 add address=77.67.32.58 list=Skype9010 add address=193.120.212.29 list=skypehttp add address=213.146.167.26 list=skypehttp /ip firewall filter add chain=forward dst-address-list=Skype9010 out-interface=P-T-K protocol=tcp src-address=192.168.88.236 action=accept /ip firewall filter add chain=forward dst-address-list=skypehttp out-interface=P-T-K protocol=tcp src-address=192.168.88.236 action=accept Edited February 1, 2015 by sanek100
ChargeSet Posted February 1, 2015 Posted February 1, 2015 попробуйте переписать фильтр для работы не по IP, а по доменному имени, firewall filter с этим, по-моему, справляется под нагрузкой, поэтому можно попробовать сделать средствами прокси. Схему проверить не могу, так что лучше проверьте на стенде сначала Включаем прокси /ip proxy set enabled=yes port=8080 Делаем его прозрачным и говорим микротику, для кого используется прокси: /ip firewall nat add chain=dstnat protocol=tcp src-address=192.168.88.236 dst-port=80 action=redirect to-ports=8080 Вносим разрешение на сайт: /ip proxy access add dst-host=nag.ru action=allow Запрещаем все остальные следующим правилом: /ip proxy access add dst-host=*.* action=deny Скайп не работает с хост-именами, поэтому ему будет глубоко пофиг на этот прокси
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts