Запрет доступа в интернет на Mikrotik

Чтобы запретить доступ в интернет определенным ip-адресам во внутренней сети, необходимо в настройках маршрутизатора нажать «IP» — «Firewall«, во вкладке «Filter Rules» добавить новые правила нажав «Add New» или «+«.

В открывшемся окне указать следующие основные параметры:
Chain: forward
Src. Address: например ip адрес 192.168.88.200 или подсеть 192.168.88.240/29 которым необходимо запретить доступ в интернет и разрешить доступ во внутренней сети. Вместо IP можно указать MAC-адрес в Src. MAC Address.
Dst. Address: например 192.168.88.0/24 (маска подсети /24 означает диапазон 192.168.88.1 до 192.168.88.254)
Action: accept
Это правило разрешает хождение пакетов к указанному диапазону ip (Dst. Address), то есть во внутренней сети.
Также во вкладке «IP» — «DHCP Server» — «Leases», если в правилах используется IP, необходимо статически зарезервировать IP адреса к MAC адресам компьютеров, для которых прописаны правила в фаерволе чтобы они получали по DHCP один и тот же IP.

Следующее правило запрещает для указанного IP, MAC-адреса или подсети весь остальной трафик который не указан в разрешающих правилах.
Chain: forward
Src. Address: или Src. MAC Address: тот же что и в разрешающем правиле
Action: drop

В списке правил фаервола также необходимо убедится что разрешающие правила находятся перед запрещающими.
Все.

Вливайтесь в общение

3 комментария

Добавить комментарий для АлишерОтменить ответ

  1. Привет всем. Я запретил всех сайтов и портов и дал доступ к определенным сайтам. Мне нужен дать доступ к программу Google Earth чтобы он работал(как узнать ip или как этот программа выходить в глобальный сеть)

    1. «Я запретил всех сайтов и портов и дал доступ к определенным сайтам». Можно узнать как вы это сделали? Не могу разобраться .

      1. Создается адрес лист, в котором указываем не IP адреса сайта, а их имена. Микротик сам отрезолвит и подставит большинство IP адресов. А в запрещающем правиле на вкладке Advanced говорим НЕ DST Address List

Больше на IT Blog

Оформите подписку, чтобы продолжить чтение и получить доступ к полному архиву.

Continue reading