Mikrotik запрет на доступ к сети или определенному IP?
Mikrotik используется в качестве шлюза, как запретить определенному пользователю доступ в локальную сеть или к определенному IP адресу.
- Вопрос задан более трёх лет назад
- 27364 просмотра
1 комментарий
Оценить 1 комментарий
Уже 3 года прошло! Только увидел! Смотри в сторону KeeneticOS + zyxel. Там это всё есть по умолчанию, реально работает всё по кнопочкам и переключателям. Афигенная штука, я использую в малой сети на 100 MAC устройств (более)
Решения вопроса 0
Ответы на вопрос 4
Смотря, что Вы подразумеваете под пользователем. Если хост, то через
ip firewall filter add action=drop chain=forward src-address=192.168.xxx.xxxно при этом нужны правильно настроенные другие правила.
Если пользователь, именно пользователь, то опять же пользователь чего?
Также, не ясно, что вы подразумеваете под доступом «в локальную сеть или к определенному адресу».
Ответ написан более трёх лет назад
Нравится 3 4 комментария
trojanwc @trojanwc Автор вопроса
Пользователь = компьютер в локальной сети
Определенный адрес= определенный ip в локальной сети
trojanwc: Вам нужно ограничить доступ определенного компьютера в ту же локальную сеть, частью которой он является? Если да, то это не решается средствами роутера.
Как один из вариантов: вынесите комп в отдельную подсеть (vlan) со всеми сопутствующими настройками (nat, маршруты, firewall).
В Микротике можно включить фильтрацию по IP на коммутаторе L2 и фильтровать потоки в локальной сети, только все это сильно снижает производительность.
В Микротике можно включить фильтрацию по IP на коммутаторе L2 и фильтровать потоки в локальной сети (без vlan), только все это сильно снижает производительность. Второй вариант, как предложил kinvlad: через создание vlan, но это потянет за собой еще и 802.1x
Mikrotik. Разрешаем и запрещаем.
С помощью Mikrotik routerboard мы организовали доступ к сети интернет для нескольких компьютеров, к примеру офис или несколько соседей объединённых локальной сетью. Всё хорошо, все довольны и пользуются интернетом. В офисе вместо работы — «одноклассники» и «в контакте», или онлайн игры. С соседями тоже бывают проблемы: платить не хотят, но интернетом продолжают пользоваться. Нужно решать проблему.
В mikrotik routerboard есть FIREWALL на основе Netfilter и утилиты IPTABLES.
FIREWALL — Межсетевой экран или сетевой экран — комплекс аппаратных или программных средств, осуществляющий контроль и фильтрацию проходящих через него сетевых пакетов на различных уровнях модели OSI в соответствии с заданными правилами.
Netfilter — межсетевой экран (брандмауэр), встроен в ядро Linux.
IPTABLES — утилита командной строки, является стандартным интерфейсом управления работой межсетевого экрана (брандмауэра) netfilter для ядер Linux.
С их помощью можно запретить определённым пользователям доступ в интернет. Переходим непосредственно к настройке Mikrotik routerboard. Выполняем стандартную процедуру подключения к mikrotik routerboard через Winbox.
Рис.1. Заходим в mikrotik routerboard с помощью winbox.
Имеется следующая схема сети.
Рис.2. Схема сети.
Запрещаем доступ к Интернет для компьютера с IP адресом 192.168.1.3. Переходим в раздел IP FIREWALL.
Рис.3. Переходим в раздел настройки FireWall.
Здесь нас интересует первая вкладка Filter Rules (правила фильтра). Создаем запрещающее правило для IP 192.168.1.3.
Рис.4. Первая часть правила.
Нажимаем плюс на вкладке General, выбираем Chain (Цепочка) – forward (проходящий трафик). В Src.Address вводим IP-адрес того компьютера, которому нужно запретить доступ. Переходим на вкладку Action (Действие).
Рис.5. Вторая часть правила.
Здесь мы выбираем нужное нам действие, то есть что делать с трафиком соответствующим этому правилу. Выбираем DROP – запрещаем прохождение трафика. Правило создано.
Рис.6. Правило готово.
Любые попытки компьютера выйти в интернет будут жёстко пресекаться.
Евгений Рудченко специально для asp24
Как заблокировать доступ к сайту на роутере Микротик
Например, нам нужно заблокировать социальную сеть вконтакте при помощи маршрутизатора Микротик.
Заходим в IP/Firewall/Filter rules
Создаем новое правило
На вкладке General для цепочки Forward, указываем протокол TCP
На вкладке Advanced в поле Content указываем доменное имя сайта, который нужно заблокировать (в нашем случае vk.com)
Можно указать домен VK. (VK с точкой). В этом случае будет заблокирован домен vk во всех доменных зонах
На вкладке Action выбираем действие drop для этого правила.
Теперь нужно переместить созданное правило в начало списка правил фаервола.
Таким же образом можно заблокировать любой сайт социальных сетей при помощи маршрутизатора Микротик.
Заблокировать IP адрес на Mikrotik
У нас CloudCore CCR-1036 12G 4S, насколько я понимаю это не сильно важно. Главное что роутер.
Так вот, есть необходимость добавить в фаервол правило на фильтр, чтобы конкретный IP не мог ходить на 80й порт. Вроде берем в фильтрах пишем Src. Addres указываем, протокол TCP, порт 80, action drop.
Но правило не работает и трафика по нему нет.
Что странно, во вкладке Connections не отображаются сессии с этого IP, хотя он точно соединяется.
В общем ничего не пойму.