Ограничаване на портове на клиенти.

[syscom]

Може ли да се ограничи от микротик даден клиент  да не може да ползва интернет но да може да праща и получава мейли от аутлук?

[111111]

да

add action=accept chain=forward comment=post disabled=no dst-port=110,995,53 protocol=tcp src-address=172.16.0.216

add action=drop chain=forward comment=post disabled=no dst-port=1-65535 in-interface=LAN protocol=tcp src-address=172.16.0.216 

add action=drop chain=forward comment=post disabled=no dst-port=1-65535 in-interface=LAN protocol=udp src-address=172.16.0.216[/code]

добави си в първото правило каквито си искаш портове за поща

[syscom]

Благодаря за отговора?

[syscom]

Но с правилата не се получава спира се всичко и интернет и мейл.

[danielskiii]

а правилото промени ли си го с правилните ип-та и интерфейс-и и за майл-а треа добавиш още два порта 25,587

[syscom]

Ами всичко съм направил както е споделил колегата 111111 но не мога да праштам и получавам мейли а примерно сайтове не мога да отварям.

[danielskiii]

даде ама той не е добавил

и другите 2 порта

[syscom]

Аз ги добавих.

0  ;;; post

    chain=forward action=accept protocol=tcp src-address=192.168.xxx.xxx

    dst-port=110,995,53,25,587

1  ;;; post

    chain=forward action=drop protocol=tcp src-address=192.168.xxx.xxx

    in-interface=LAN dst-port=1-65535

2  ;;; post

    chain=forward action=drop protocol=udp src-address=192.168.xxx.xxx

    in-interface=LAN dst-port=1-65535

[danielskiii]

ммм може да пробваш там дето е дроп да не е 1-65535 ами да е 1-24,26-52,54-109,111-586,588-65535

[Diogen]

няма ли да е по добре:

chain=forward action=drop src-address=192.168.xxx.xxx in-interface=LAN

на линукса просто пиша:

iptables -A FORWARD -s 192.168.xxx.xxx/32 -j DROP

предполагам, че на микротика е горното което съм написал

що трябва да пишем портове и т.н.

[111111]

ммм може да пробваш там дето е дроп да не е 1-65535 ами да е 1-24,26-52,54-109,111-586,588-65535

няма смисъл

защитната стена ползва единична нишка с последователности

правило 1 = ако е с означените портове продължи

правило 2 и 3 забраняват всичко останало което е минало през ситото на првото правило

в случая на TCP/UDP

за да не работи има варянт да не е пуснат connection tracking или да има правило над тези което да върши беля

[syscom]

ммм може да пробваш там дето е дроп да не е 1-65535 ами да е 1-24,26-52,54-109,111-586,588-65535

Това ще го пробвам.

[syscom]

няма смисъл

защитната стена ползва единична нишка с последователности

правило 1 = ако е с означените портове продължи

правило 2 и 3 забраняват всичко останало което минало през ситото на првото правило

в случая на TCP/UDP

за да не работи има варянт да не е пуснат connection tracking или да има правило над тези което да върши беля

Connection tracking е пуснат ако е ip>firewall>connections>tracking> enabled.

Значи както съм го принтнал - първо второ и трето правило друго няма.

0  ;;; post

    chain=forward action=accept protocol=tcp src-address=192.168.xxx.xxx

    dst-port=110,995,53,25,587

1  ;;; post

    chain=forward action=drop protocol=tcp src-address=192.168.xxx.xxx

    in-interface=LAN dst-port=1-65535

2  ;;; post

    chain=forward action=drop protocol=udp src-address=192.168.xxx.xxx

    in-interface=LAN dst-port=1-65535

[Mupo neTkoB]

е outlook с какви портове ти работи? няма начин да не работи това правило.

нали идеята ти е да НЯМА интернет а по-нагоре гледам че се оплакваш че "НЯМА" интернет.

може да пуснеш правило да логва това което хваща първото "разрешаващо" правило и да видиш

както и да видиш какво хваща "забраняващото" правило на 2-ри и 3-ти ред

[syscom]

е outlook с какви портове ти работи? няма начин да не работи това правило.

нали идеята ти е да НЯМА интернет а по-нагоре гледам че се оплакваш че "НЯМА" интернет.

може да пуснеш правило да логва това което хваща първото "разрешаващо" правило и да видиш

както и да видиш какво хваща "забраняващото" правило на 2-ри и 3-ти ред

За интернета ок порт 80 не ми рабори не мога да отварям страници - outlook ми работи на порт 110 и 25 по подразбиране но не мога да пращам и получавам мейли.

А как да пусна такова правило дето да ми логва останалите правила?

[Mupo neTkoB]

слагаш го преди правилото за дроп

add action=лог chain=forward comment=post disabled=no dst-port=1-65535 in-interface=LAN protocol=tcp src-address=172.16.0.216 

add action=лог chain=forward comment=post disabled=no dst-port=1-65535 in-interface=LAN protocol=udp src-address=172.16.0.216