madbed96 Posted April 8, 2016 · Report post Раньше все работало, но в определенный момент перестало, в какой именно-неизвестно, ибо люди на эту штуку не жалуются! адреса заблоченным выдаются из пула 10.222.222.0/24 /ip firewall nat add action=masquerade chain=srcnat comment=SberbankOnline dst-address=194.54.12.0/22 protocol=tcp src-address=10.222.222.0/24 to-addresses=194.54.12.0/22 add action=dst-nat chain=dstnat comment=Blocking dst-address=!10.10.4.71 dst-port=0-65535 protocol=tcp src-address=10.222.222.0/24 src-address-list=allow_ip \ to-addresses=10.10.4.71 to-ports=8080 add action=masquerade chain=srcnat comment="Masquerade for Blocked" src-address=10.222.222.0/24 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted April 8, 2016 · Report post Вообще если у абонента нет средств, то ему не надо выдавать какие-то другие адреса из пула - достаточно поместить ИП абонента в адрес лист, доступ из которого блокировать в сторону интернета. Переадресация на страничку делается через веб прокси: /ip firewall address-list add address=10.10.10.10 list=balance_negative /ip firewall filter add action=drop chain=forward dst-address=!10.0.0.0/8 src-address-list=balance_negative /ip firewall nat add action=redirect chain=dstnat dst-address=!10.0.0.0/8 protocol=tcp src-address-list=balance_negative to-ports=8123 /ip proxy set enabled=yes port=8123 /ip proxy access add action=deny redirect-to=10.10.8.1 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
xaker1 Posted April 9, 2016 · Report post add action=masquerade chain=srcnat comment=SberbankOnline dst-address=194.54.12.0/22 protocol=tcp src-address=10.222.222.0/24 to-addresses=194.54.12.0/22 Не понял, что хотели сделать этим правилом. Зачем делать srcnat в IP адреса сбербанка? add action=dst-nat chain=dstnat comment=Blocking dst-address=!10.10.4.71 dst-port=0-65535 protocol=tcp src-address=10.222.222.0/24 src-address-list=allow_ip \ to-addresses=10.10.4.71 to-ports=8080 1) Зачем nat всех tcp портов в порт 8080? Наверное стоит nat'ить только 80 порт. 2) Зачем одновременно указывать src-address и src-address-list. Думаю, стоит ограничиться только src-address. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
madbed96 Posted April 20, 2016 · Report post Не понял, что хотели сделать этим правилом. Зачем делать srcnat в IP адреса сбербанка? Этим правилом разрешается доступ заблокированных пользователей в сбербанк онлайн, только правило старое, сейчас стоит action=accept 1) Зачем nat всех tcp портов в порт 8080? Наверное стоит nat'ить только 80 порт. 2) Зачем одновременно указывать src-address и src-address-list. Думаю, стоит ограничиться только src-address. 1) Если натить только порт 80, то продолжают работать все остальные, доступ например в танки остается. 2)Тут полностью согласен. Компания молодая, конфиг точить и точить... Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...