Jump to content
  • 0

Ограничаване на портове на клиенти.


syscom

Question

Може ли да се ограничи от микротик даден клиент  да не може да ползва интернет но да може да праща и получава мейли от аутлук?

Link to comment
Share on other sites

Recommended Posts

  • 0
  • Administrator

да

add action=accept chain=forward comment=post disabled=no dst-port=110,995,53 protocol=tcp src-address=172.16.0.216
add action=drop chain=forward comment=post disabled=no dst-port=1-65535 in-interface=LAN protocol=tcp src-address=172.16.0.216
add action=drop chain=forward comment=post disabled=no dst-port=1-65535 in-interface=LAN protocol=udp src-address=172.16.0.216[/code]

добави си в първото правило каквито си искаш портове за поща

Харесай поста ^^^
acer.gif htc.gifsigpic4024_2.gif

Форумът е за взаимопомощ а не за свършване на чужда работа


ɹɐǝɥ uɐɔ noʎ ǝɹoɯ ǝɥʇ 'ǝɯoɔǝq noʎ ɹǝʇǝınb ǝɥʇ

Link to comment
Share on other sites

  • 0

Но с правилата не се получава спира се всичко и интернет и мейл.

Link to comment
Share on other sites

  • 0

а правилото промени ли си го с правилните ип-та и интерфейс-и и за майл-а треа добавиш още два порта 25,587

Link to comment
Share on other sites

  • 0

Ами всичко съм направил както е споделил колегата 111111 но не мога да праштам и получавам мейли а примерно сайтове не мога да отварям.

Link to comment
Share on other sites

  • 0

Аз ги добавих.

0  ;;; post

    chain=forward action=accept protocol=tcp src-address=192.168.xxx.xxx

    dst-port=110,995,53,25,587

1  ;;; post

    chain=forward action=drop protocol=tcp src-address=192.168.xxx.xxx

    in-interface=LAN dst-port=1-65535

2  ;;; post

    chain=forward action=drop protocol=udp src-address=192.168.xxx.xxx

    in-interface=LAN dst-port=1-65535

Link to comment
Share on other sites

  • 0

ммм може да пробваш там дето е дроп да не е 1-65535 ами да е 1-24,26-52,54-109,111-586,588-65535

Link to comment
Share on other sites

  • 0

няма ли да е по добре:

chain=forward action=drop src-address=192.168.xxx.xxx in-interface=LAN

на линукса просто пиша:

iptables -A FORWARD -s 192.168.xxx.xxx/32 -j DROP

предполагам, че на микротика е горното което съм написал

що трябва да пишем портове и т.н.

Link to comment
Share on other sites

  • 0
  • Administrator

ммм може да пробваш там дето е дроп да не е 1-65535 ами да е 1-24,26-52,54-109,111-586,588-65535

няма смисъл

защитната стена ползва единична нишка с последователности

правило 1 = ако е с означените портове продължи

правило 2 и 3 забраняват всичко останало което е минало през ситото на првото правило

в случая на TCP/UDP

за да не работи има варянт да не е пуснат connection tracking или да има правило над тези което да върши беля

Харесай поста ^^^
acer.gif htc.gifsigpic4024_2.gif

Форумът е за взаимопомощ а не за свършване на чужда работа


ɹɐǝɥ uɐɔ noʎ ǝɹoɯ ǝɥʇ 'ǝɯoɔǝq noʎ ɹǝʇǝınb ǝɥʇ

Link to comment
Share on other sites

  • 0

ммм може да пробваш там дето е дроп да не е 1-65535 ами да е 1-24,26-52,54-109,111-586,588-65535

Това ще го пробвам.

Link to comment
Share on other sites

  • 0

няма смисъл

защитната стена ползва единична нишка с последователности

правило 1 = ако е с означените портове продължи

правило 2 и 3 забраняват всичко останало което минало през ситото на првото правило

в случая на TCP/UDP

за да не работи има варянт да не е пуснат connection tracking или да има правило над тези което да върши беля

Connection tracking е пуснат ако е ip>firewall>connections>tracking> enabled.

Значи както съм го принтнал - първо второ и трето правило друго няма.

0  ;;; post

    chain=forward action=accept protocol=tcp src-address=192.168.xxx.xxx

    dst-port=110,995,53,25,587

1  ;;; post

    chain=forward action=drop protocol=tcp src-address=192.168.xxx.xxx

    in-interface=LAN dst-port=1-65535

2  ;;; post

    chain=forward action=drop protocol=udp src-address=192.168.xxx.xxx

    in-interface=LAN dst-port=1-65535

Link to comment
Share on other sites

  • 0

е outlook с какви портове ти работи? няма начин да не работи това правило.

нали идеята ти е да НЯМА интернет а по-нагоре гледам че се оплакваш че "НЯМА" интернет.

може да пуснеш правило да логва това което хваща първото "разрешаващо" правило и да видиш

както и да видиш какво хваща "забраняващото" правило на 2-ри и 3-ти ред

Теория - това е когато знаете всичко, но нищо не работи

Практика - това е когато всичко работи, но не знаете защо

При нас съчетаваме теорията с практиката - НИЩО не работи и нямаме понятие защо!!!

Link to comment
Share on other sites

  • 0

е outlook с какви портове ти работи? няма начин да не работи това правило.

нали идеята ти е да НЯМА интернет а по-нагоре гледам че се оплакваш че "НЯМА" интернет.

може да пуснеш правило да логва това което хваща първото "разрешаващо" правило и да видиш

както и да видиш какво хваща "забраняващото" правило на 2-ри и 3-ти ред

За интернета ок порт 80 не ми рабори не мога да отварям страници - outlook ми работи на порт 110 и 25 по подразбиране но не мога да пращам и получавам мейли.

А как да пусна такова правило дето да ми логва останалите правила?

Link to comment
Share on other sites

  • 0

слагаш го преди правилото за дроп


add action=лог chain=forward comment=post disabled=no dst-port=1-65535 in-interface=LAN protocol=tcp src-address=172.16.0.216 

add action=лог chain=forward comment=post disabled=no dst-port=1-65535 in-interface=LAN protocol=udp src-address=172.16.0.216

Теория - това е когато знаете всичко, но нищо не работи

Практика - това е когато всичко работи, но не знаете защо

При нас съчетаваме теорията с практиката - НИЩО не работи и нямаме понятие защо!!!

Link to comment
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...

Important Information

By using this site, you agree to our Terms of Use.