sanek100 Posted February 1, 2015 (edited) Здравствуйте, помогите с настройками я прописываю такое правило /ip firewall filter add chain=forward protocol=tcp src-address =192.168.88.236 dst-address=31.13.60.70 action=drop Сайты блокируются за исключением того что мне надо, но в месте с этим еще и блокируется Skype, а мне необходимо чтобы был доступ только к одному сайту и к Skype, что я делаю не так? Edited February 1, 2015 by sanek100 Share this post Link to post Share on other sites More sharing options...
ChargeSet Posted February 1, 2015 Все так. Добавьте еще одно правило и разрешите скайп Share this post Link to post Share on other sites More sharing options...
sanek100 Posted February 1, 2015 ххм, в том то и дело что я не пойму как разрешить скайп, по каким портам Share this post Link to post Share on other sites More sharing options...
ChargeSet Posted February 1, 2015 http://community.skype.com/t5/%D0%9E%D0%B1%D1%89%D0%B8%D0%B9-%D0%A4%D0%BE%D1%80%D1%83%D0%BC/IP-%D0%B0%D0%B4%D1%80%D0%B5%D1%81%D0%B0-%D1%81%D0%B5%D1%80%D0%B2%D0%B5%D1%80%D0%BE%D0%B2-Skype-%D0%B4%D0%BB%D1%8F-%D0%BD%D0%B0%D1%81%D1%82%D1%80%D0%BE%D0%B9%D0%BA%D0%B8-Firewall/td-p/236842 Share this post Link to post Share on other sites More sharing options...
sanek100 Posted February 1, 2015 (edited) Что то не получается, прописываю /ip firewall address-list add address=213.146.167.55 list=Skype9010 add address=193.120.212.58 list=Skype9010 add address=77.67.32.58 list=Skype9010 add address=193.120.212.29 list=skypehttp add address=213.146.167.26 list=skypehttp /ip firewall filter add chain=forward dst-address-list=Skype9010 out-interface=P-T-K protocol=tcp src-address=192.168.88.236 action=accept /ip firewall filter add chain=forward dst-address-list=skypehttp out-interface=P-T-K protocol=tcp src-address=192.168.88.236 action=accept Edited February 1, 2015 by sanek100 Share this post Link to post Share on other sites More sharing options...
ChargeSet Posted February 1, 2015 попробуйте переписать фильтр для работы не по IP, а по доменному имени, firewall filter с этим, по-моему, справляется под нагрузкой, поэтому можно попробовать сделать средствами прокси. Схему проверить не могу, так что лучше проверьте на стенде сначала Включаем прокси /ip proxy set enabled=yes port=8080 Делаем его прозрачным и говорим микротику, для кого используется прокси: /ip firewall nat add chain=dstnat protocol=tcp src-address=192.168.88.236 dst-port=80 action=redirect to-ports=8080 Вносим разрешение на сайт: /ip proxy access add dst-host=nag.ru action=allow Запрещаем все остальные следующим правилом: /ip proxy access add dst-host=*.* action=deny Скайп не работает с хост-именами, поэтому ему будет глубоко пофиг на этот прокси Share this post Link to post Share on other sites More sharing options...