a25k03 Posted April 20, 2016 Ребят появилась необходимость на MT запретить все, кроме определенных сайтов. Пробовал в L7 маркировать пакеты и выбирать srcnat l7 протокол маскарадинг, но не канало... далее пробовал в фаерволе... выбирал запретить все кроме маркированых L7 (! ставил) блокировать получается сайты... а вот все блокировать кроме определенных нет... Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted April 20, 2016 Можно запретить весь ДНС, а можно использовать прокси. Вообще такие задачи не для микротика, следует использовать специализированное ПО. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
a25k03 Posted April 20, 2016 (edited) без прокси надо... https тоже проксить? хочу на МТ ) Edited April 20, 2016 by a25k03 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
SSD Posted April 20, 2016 без прокси надо... https тоже проксить? хочу на МТ ) Прозрачный прокси чем не устраивает? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Advvokat Posted April 22, 2016 Добрый день. Возможно, решение сильно простое, но, по-моему, проще некуда. "Нужные сайты" добавляете в Адресс лист. В фаерволе разрешаете этот лист. Правилом ниже запрещаете выход в интернет. Все. Т.е., практически то же, что делали и Вы, только не маркировкой пользоваться, а листом. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
a25k03 Posted April 23, 2016 а точнее в адрес лист добавлять ip сайтов, так? а как быть в таком случае, если у сайта куча ip и некоторые из них могут иногда меняться? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Advvokat Posted April 25, 2016 (edited) Ya.ru для примера. 1. Можно попробовать nslookup. (cmd - nslookup ya.ru) либо (cmd - nslookup ya.ru 8.8.8.8) 2. Можно воспользоваться онлайн сервисами. Например: bgp.he.net/dns/ya.ru 3. В Микротике в консоли: put [:resolve ya.ru] (отрабатывает криво, как мне кажется) 4. Chain=forward protocol=tcp out interface=Ваш внешний интерфейс Content=Host:ya.ru Action=reject with tcp-reset (блокировка всех адресов, в названии которых присутствует ya.ru) Насчет смены адресов, не подскажу... Edited April 25, 2016 by Advvokat Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Advvokat Posted April 25, 2016 (edited) Тема на хабре: habrahabr.ru/post/242143 Edited April 25, 2016 by Advvokat Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
kolizey Posted May 3, 2016 Апну тему, тоже очень интересует. Только туда еще пытался vnc прикрутить, чтоб в локалку смотреть из вне. В итоге ничего не получидось. Через прокси как-то тоже не заработало и манов в инете кот наплакал по этой теме... Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
a25k03 Posted August 19, 2016 (блокировка всех адресов, в названии которых присутствует ya.ru) Надо немного наоборот... запретить все, кроме определенных сайтов Тема на хабре: habrahabr.ru/post/242143 По данному методу вроде как можно решить данную задачу, но это будет костыль и он будет криво работать с доменами у которых несколько ip... Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
VolanD666 Posted August 19, 2016 Не стоит на микротике l7 фильтровать имхо. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Night_Snake Posted August 19, 2016 В последнем релизе (6.36) можно делать адрес-листы из доменных имен. Правда, резолвинг происходит не при каждом обращении, а по истечении TTL Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
N-Ban Posted August 26, 2016 У меня сделано следующим образом есть 3 группы A B C A полный доступ к инету B только разрешенные саиты которые прописаны в листах С полностью дропается вся подсеть но есть доступ на те саиты которые прописаны в Ну и собственно сами правила /ip firewall add action=accept chain=forward comment=BAN-Accept disabled=yes log-prefix="" src-address-list=GROUP-A add action=drop chain=forward comment="BAN-White list" disabled=yes dst-address-list="!BAN-White list" log-prefix="" src-address-list=GROUP-B add action=drop chain=forward comment=BAN-Ethernet disabled=yes dst-address-list=!Ban-Ethernet log-prefix="" src-address-list=GROUP-С /ip firewall address-list add address=10.0.0.0/24 list=GROUP-C add address=10.0.0.2 list=GROUP-B add address=10.0.0.5 list=CLASS-A add address=ntp-servers.net list=Ban-Ethernet add address=mail.ru list="BAN-White list" Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...