Jump to content
Калькуляторы

Блокировка ip

Приветствую, подскажите новичку как правильно блокировать ip адресс?

Имел ранее другой бренд проблем небыло, а тут сижу и гуглю уже 3 дня и ничего не получается...

Просто требуется огородится от некоторых айпи\подсетей

Share this post


Link to post
Share on other sites

Читал я и не один раз, ну не получается у меня. Поэтому я и обратился на форум...

 

add address=1.2.3.4 disabled=no list=test

add action=drop chain=forward in-interface=ether1 src-address-list=test

 

и

 

add chain=forward src-address=1.2.3.4 action=drop

 

Подскажите будьте добры

Share this post


Link to post
Share on other sites

sawa1982, тут надо различать, что именно мы хотим защитить.

1) "chain=forward" для транзитного трафика идущего через роутер "насквозь"

2) "chain=input" для трафика идущего непосредственно на сам роутер

Добавляем адрес в список:

"/ip firewall address-list add address=1.1.1.1 list=blacklist"

Блокируем входящие на роутер:

"/ip firewall filter add action=drop chain=input src-address-list=blacklist"

Share this post


Link to post
Share on other sites

sawa1982, вот предельно упрощенная диаграмма.

System - ваш роутер

nic - сетевые интерфейсы (сетевые карты). Одна как правило, подключена к Интернет (Wan), другая к локальной сети (Lan)

post-133976-065315800 1479713636_thumb.gif

Edited by nkusnetsov

Share this post


Link to post
Share on other sites

nkusnetsov, input,forward с этим теперь все понятно спасибо, я пробывал менять но так и не помогло...

Сейчас же тоже самое, попросил товарища помочь проверить и вижу его на сервере как клиента с айпи 1.2.3.4

Добавляю это и никаких действий не происходит, он как сидел так и сидит, перезаходит и т.д

`/ip firewall address-list add address=1.2.3.4 list=blacklist`

`/ip firewall filter add action=drop chain=input src-address-list=blacklist`

Share this post


Link to post
Share on other sites

sawa1982, нарисуйте схему. Где относительно микротика находится сервер, а где товарищ.

Можете к прикрепленному выше изображению дорисовать и указать адреса.

Edited by nkusnetsov

Share this post


Link to post
Share on other sites

nkusnetsov,

123123.png

На словах, иметься машина на которой стоит сервер.

Был приобретен микротик и к нему подключена одна эта машина, люди подключается из разных подсетей (не по локалке) к серверу и требуется некоторые айпи адресса ограничить.

Share this post


Link to post
Share on other sites

Дело в том что я перезагружал сам роутер после создания правила, также пробывал в строке коннектион удалять данный айпи

Share this post


Link to post
Share on other sites

sawa1982, подводя итоги, в том числе для других:

Правило

"/ip firewall filter add action=drop chain=input src-address-list=blacklist" не работало, т.к. трафик транзитный(сервер за микротиком). Резать нужно было в цепочке forward:

"/ip firewall filter add action=drop chain=forward src-address-list=blacklist"

Edited by nkusnetsov

Share this post


Link to post
Share on other sites

Верно, "/ip firewall filter add action=drop chain=forward src-address-list=blacklist"

Я изначально думал что идут первое правило запрет, а потом уже разрешает определенное.А вышло наоборот

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.