Чтобы запретить доступ в интернет определенным ip-адресам во внутренней сети, необходимо в настройках маршрутизатора нажать «IP» — «Firewall«, во вкладке «Filter Rules» добавить новые правила нажав «Add New» или «+«.
В открывшемся окне указать следующие основные параметры:
Chain: forward
Src. Address: например ip адрес 192.168.88.200 или подсеть 192.168.88.240/29 которым необходимо запретить доступ в интернет и разрешить доступ во внутренней сети. Вместо IP можно указать MAC-адрес в Src. MAC Address.
Dst. Address: например 192.168.88.0/24 (маска подсети /24 означает диапазон 192.168.88.1 до 192.168.88.254)
Action: accept
Это правило разрешает хождение пакетов к указанному диапазону ip (Dst. Address), то есть во внутренней сети.
Также во вкладке «IP» — «DHCP Server» — «Leases», если в правилах используется IP, необходимо статически зарезервировать IP адреса к MAC адресам компьютеров, для которых прописаны правила в фаерволе чтобы они получали по DHCP один и тот же IP.
Следующее правило запрещает для указанного IP, MAC-адреса или подсети весь остальной трафик который не указан в разрешающих правилах.
Chain: forward
Src. Address: или Src. MAC Address: тот же что и в разрешающем правиле
Action: drop
В списке правил фаервола также необходимо убедится что разрешающие правила находятся перед запрещающими.
Все.
Привет всем. Я запретил всех сайтов и портов и дал доступ к определенным сайтам. Мне нужен дать доступ к программу Google Earth чтобы он работал(как узнать ip или как этот программа выходить в глобальный сеть)
«Я запретил всех сайтов и портов и дал доступ к определенным сайтам». Можно узнать как вы это сделали? Не могу разобраться .
Создается адрес лист, в котором указываем не IP адреса сайта, а их имена. Микротик сам отрезолвит и подставит большинство IP адресов. А в запрещающем правиле на вкладке Advanced говорим НЕ DST Address List