Guest Posted April 16, 2004 Posted April 16, 2004 Измучен в поисках и уже перестаю понимать как это можно проще реализовать в Mikrotik, но очень требуется в сиём продукте поддержка ACL, коей мною обнаружено не было.... Писать около 200 правил на каждую разрешенную сеть с каждой разрешенной сетью я не в состоянии (а требуется чтоб клиент, прописавши левую сетку у себя, не гадил в сети, а мирно умирал на ближайшем маршрутизаторе. А в форварды затолкать только разрешенные "серые" сети общающиеся меж собой, и белую, которой уже выход и разрешить везде). Может быть всемогущий ALL может помочь в таком вопросе? Сорри, если расписал проблему достаточно туманно :) Вставить ник Quote
alger Posted April 18, 2004 Posted April 18, 2004 в МикроТик также пожно организовывать переходы (jump), и соответсвенно описав одну цепочку уже посылать на неё другие. в общем, если сможешь понятно объяснить, то возможно смогу помочь. Вставить ник Quote
Guest Posted April 19, 2004 Posted April 19, 2004 В общем так: К примеру, есть серые сети 192.168.1.0 - 192.168.2.0 - 192.168.3.0 - 192.168.4.0, используемые нами и побитые на разнокалиберные подсети. Так же есть белая сеть, к примеру 195.54.2.0. Вопрос в следующем - как прописать по-простому правила файрвола, дабы юзеры могли ходить только с этих сетей на эти сети (ну на белую соответственно правил никаких не надо - с нее и на нее могут ходить кто угодно, хотя конечно если сделать запрет на все серые сети, кроме разрешенных - то было бы здорово). На самом деле серых сетей не 4, как написано выше, а порядка 30 штук. Посему задача упрощена... На цисках и револьверах всё делалось просто - я писал ACL со всеми разрешенными сетями, а в правилах указывал разрешения на него, разрешения на белую сетку, а всё остальное запрещал. Тут же не пойму как упростить задачу... Посмотрел Jump - хорошая штука, но как я понял, тут так же придется писать всё и вся, значит задача не упростится... Вставить ник Quote
alger Posted April 19, 2004 Posted April 19, 2004 если тебе нужно сделать так чтобы проходили пакеты только между определенными сетями, то можно сделать так: 1.две цепочки, 2. цепочка в которой перечисляются все разрешеные адреса отправителей и действие jump на вторую цепочку 3. во второй цепочке перечисляются все разрешенные адреса получателей и действие accept. 4. в конце каждой цепочки цепочки ствим правило запрещающее все или исправляем действия для всех остальных. на сколько я понимяю это надо ставить в forward. один минус, адреса надо два раза прописывать, одни в одной цепочке, другие в другой. а вообще, обратись в службу поддержки, если у тебя купленая лицензия. Вставить ник Quote
Guest Posted April 19, 2004 Posted April 19, 2004 Спасибо за подсказку, сейчас попробую что-нибудь сделать. По поводу службы поддержки... - По ка еще не купленная лицензия, пока еще эксперименты, так что обратиться к ним к сожалению не могу.. (( Вставить ник Quote
Guest Posted April 21, 2004 Posted April 21, 2004 Микротик на взоре лежит нахаляву, можно не покупать. Вставить ник Quote
Guest Posted April 21, 2004 Posted April 21, 2004 www.wzor.net лежит в "амбаре" за ноябрь-декабрь прошлого года Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.