syscom Posted May 26, 2011 Report Share Posted May 26, 2011 Може ли да се ограничи от микротик даден клиент да не може да ползва интернет но да може да праща и получава мейли от аутлук? Link to comment Share on other sites More sharing options...
0 Administrator 111111 Posted May 26, 2011 Administrator Report Share Posted May 26, 2011 да add action=accept chain=forward comment=post disabled=no dst-port=110,995,53 protocol=tcp src-address=172.16.0.216 add action=drop chain=forward comment=post disabled=no dst-port=1-65535 in-interface=LAN protocol=tcp src-address=172.16.0.216 add action=drop chain=forward comment=post disabled=no dst-port=1-65535 in-interface=LAN protocol=udp src-address=172.16.0.216[/code] добави си в първото правило каквито си искаш портове за поща Харесай поста ^^^ Форумът е за взаимопомощ а не за свършване на чужда работа ɹɐǝɥ uɐɔ noʎ ǝɹoɯ ǝɥʇ 'ǝɯoɔǝq noʎ ɹǝʇǝınb ǝɥʇ Link to comment Share on other sites More sharing options...
0 syscom Posted May 26, 2011 Author Report Share Posted May 26, 2011 Благодаря за отговора? Link to comment Share on other sites More sharing options...
0 syscom Posted May 26, 2011 Author Report Share Posted May 26, 2011 Но с правилата не се получава спира се всичко и интернет и мейл. Link to comment Share on other sites More sharing options...
0 danielskiii Posted May 26, 2011 Report Share Posted May 26, 2011 а правилото промени ли си го с правилните ип-та и интерфейс-и и за майл-а треа добавиш още два порта 25,587 Link to comment Share on other sites More sharing options...
0 syscom Posted May 26, 2011 Author Report Share Posted May 26, 2011 Ами всичко съм направил както е споделил колегата 111111 но не мога да праштам и получавам мейли а примерно сайтове не мога да отварям. Link to comment Share on other sites More sharing options...
0 danielskiii Posted May 26, 2011 Report Share Posted May 26, 2011 даде ама той не е добавил и другите 2 порта Link to comment Share on other sites More sharing options...
0 syscom Posted May 26, 2011 Author Report Share Posted May 26, 2011 Аз ги добавих. 0 ;;; post chain=forward action=accept protocol=tcp src-address=192.168.xxx.xxx dst-port=110,995,53,25,587 1 ;;; post chain=forward action=drop protocol=tcp src-address=192.168.xxx.xxx in-interface=LAN dst-port=1-65535 2 ;;; post chain=forward action=drop protocol=udp src-address=192.168.xxx.xxx in-interface=LAN dst-port=1-65535 Link to comment Share on other sites More sharing options...
0 danielskiii Posted May 26, 2011 Report Share Posted May 26, 2011 ммм може да пробваш там дето е дроп да не е 1-65535 ами да е 1-24,26-52,54-109,111-586,588-65535 Link to comment Share on other sites More sharing options...
0 Diogen Posted May 26, 2011 Report Share Posted May 26, 2011 няма ли да е по добре: chain=forward action=drop src-address=192.168.xxx.xxx in-interface=LAN на линукса просто пиша: iptables -A FORWARD -s 192.168.xxx.xxx/32 -j DROP предполагам, че на микротика е горното което съм написал що трябва да пишем портове и т.н. Link to comment Share on other sites More sharing options...
0 Administrator 111111 Posted May 26, 2011 Administrator Report Share Posted May 26, 2011 ммм може да пробваш там дето е дроп да не е 1-65535 ами да е 1-24,26-52,54-109,111-586,588-65535 няма смисъл защитната стена ползва единична нишка с последователности правило 1 = ако е с означените портове продължи правило 2 и 3 забраняват всичко останало което е минало през ситото на првото правило в случая на TCP/UDP за да не работи има варянт да не е пуснат connection tracking или да има правило над тези което да върши беля Харесай поста ^^^ Форумът е за взаимопомощ а не за свършване на чужда работа ɹɐǝɥ uɐɔ noʎ ǝɹoɯ ǝɥʇ 'ǝɯoɔǝq noʎ ɹǝʇǝınb ǝɥʇ Link to comment Share on other sites More sharing options...
0 syscom Posted May 26, 2011 Author Report Share Posted May 26, 2011 ммм може да пробваш там дето е дроп да не е 1-65535 ами да е 1-24,26-52,54-109,111-586,588-65535 Това ще го пробвам. Link to comment Share on other sites More sharing options...
0 syscom Posted May 26, 2011 Author Report Share Posted May 26, 2011 няма смисъл защитната стена ползва единична нишка с последователности правило 1 = ако е с означените портове продължи правило 2 и 3 забраняват всичко останало което минало през ситото на првото правило в случая на TCP/UDP за да не работи има варянт да не е пуснат connection tracking или да има правило над тези което да върши беля Connection tracking е пуснат ако е ip>firewall>connections>tracking> enabled. Значи както съм го принтнал - първо второ и трето правило друго няма. 0 ;;; post chain=forward action=accept protocol=tcp src-address=192.168.xxx.xxx dst-port=110,995,53,25,587 1 ;;; post chain=forward action=drop protocol=tcp src-address=192.168.xxx.xxx in-interface=LAN dst-port=1-65535 2 ;;; post chain=forward action=drop protocol=udp src-address=192.168.xxx.xxx in-interface=LAN dst-port=1-65535 Link to comment Share on other sites More sharing options...
0 Mupo neTkoB Posted May 26, 2011 Report Share Posted May 26, 2011 е outlook с какви портове ти работи? няма начин да не работи това правило. нали идеята ти е да НЯМА интернет а по-нагоре гледам че се оплакваш че "НЯМА" интернет. може да пуснеш правило да логва това което хваща първото "разрешаващо" правило и да видиш както и да видиш какво хваща "забраняващото" правило на 2-ри и 3-ти ред Теория - това е когато знаете всичко, но нищо не работи Практика - това е когато всичко работи, но не знаете защо При нас съчетаваме теорията с практиката - НИЩО не работи и нямаме понятие защо!!! Link to comment Share on other sites More sharing options...
0 syscom Posted May 26, 2011 Author Report Share Posted May 26, 2011 е outlook с какви портове ти работи? няма начин да не работи това правило. нали идеята ти е да НЯМА интернет а по-нагоре гледам че се оплакваш че "НЯМА" интернет. може да пуснеш правило да логва това което хваща първото "разрешаващо" правило и да видиш както и да видиш какво хваща "забраняващото" правило на 2-ри и 3-ти ред За интернета ок порт 80 не ми рабори не мога да отварям страници - outlook ми работи на порт 110 и 25 по подразбиране но не мога да пращам и получавам мейли. А как да пусна такова правило дето да ми логва останалите правила? Link to comment Share on other sites More sharing options...
0 Mupo neTkoB Posted May 26, 2011 Report Share Posted May 26, 2011 слагаш го преди правилото за дроп add action=лог chain=forward comment=post disabled=no dst-port=1-65535 in-interface=LAN protocol=tcp src-address=172.16.0.216 add action=лог chain=forward comment=post disabled=no dst-port=1-65535 in-interface=LAN protocol=udp src-address=172.16.0.216 Теория - това е когато знаете всичко, но нищо не работи Практика - това е когато всичко работи, но не знаете защо При нас съчетаваме теорията с практиката - НИЩО не работи и нямаме понятие защо!!! Link to comment Share on other sites More sharing options...
Question
syscom
Може ли да се ограничи от микротик даден клиент да не може да ползва интернет но да може да праща и получава мейли от аутлук?
Link to comment
Share on other sites
20 answers to this question
Recommended Posts
Create an account or sign in to comment
You need to be a member in order to leave a comment
Create an account
Sign up for a new account in our community. It's easy!
Register a new accountSign in
Already have an account? Sign in here.
Sign In Now