|
0 / 0 / 0
Регистрация: 22.07.2014
Сообщений: 33
|
|
Запретить доступ с внутренней локальной сети в сети которые за WAN интерфейсом14.07.2022, 13:44. Показов 7971. Ответов 17
Метки нет (Все метки)
Вопрос может уже где то поднимался так как я понимаю не сложный, не нашел ответ в темах! Микротик настроен по умолчанию как роутер со всеми стандартными настройками после сброса, интернет есть, все хорошо, но вот компы которые подключены к этому микротику видят подсети за WAN-ом. Как запретить видеть эти сети, а интернет полученный по DHCP остался?
0
|
|
( Лучшие ответы (1)
| 14.07.2022, 13:44 | |
|
Ответы с готовыми решениями:
17
Доступ к локальной сети за WAN Удаленный доступ к компьютеру по WI-FI и доступ к внутренней локальной сети
|
 
11438 / 7007 / 1903
Регистрация: 25.12.2012
Сообщений: 29,402
|
|
| 14.07.2022, 15:37 | |
 Сообщение было отмечено zzel как решение
Решение
Правило в firewall filter chain=forward с action=drop, src-address=192.168.88.0/24 (ваша локальная сеть, адрес может отличаться), dst-address-list=bogon
В лист bogon добавляете сети за wan интерфейсом, или все серые (в случае если у вас одна единственная локальная подсеть): 192.168.0.0/16 172.16.0.0/12 100.64.0.0/10 10.0.0.0/8
3
|
|
|
0 / 0 / 0
Регистрация: 22.07.2014
Сообщений: 33
|
|
| 14.07.2022, 15:55 [ТС] | |
|
Искренне Вам благодарен, всё четко!
0
|
|
|
0 / 0 / 0
Регистрация: 08.09.2022
Сообщений: 9
|
|
| 08.09.2022, 15:48 | |
|
insect_87, Добрый день. Хотел у Вас поинтересоваться, т.к. прошёлся по множеству тем связанные с устройством микротик, где вы всё подробно объясняете людям.
Поставил аппарат RB1100Dx4 mikrotik. По стандарту поднял сетку, без dhcp, без каких-либо ограничений в firewall. Используется 2 порта, (wan, lan). Попытался заблокировать интернет определенному айпи адресу. Пытался 2 способами: лист и напрямую через фильтр. Вроде как всё правильно делаю, но интернет на этот айпи он не блокирует. P.S. Не силён в этом направлении, т.к. больше специализируюсь на языках программирования. Заранее спасибо!
0
|
|
|
11438 / 7007 / 1903
Регистрация: 25.12.2012
Сообщений: 29,402
|
||||||
| 08.09.2022, 23:31 | ||||||
|
Добрый день, выложите из new terminal
0
|
||||||
|
0 / 0 / 0
Регистрация: 08.09.2022
Сообщений: 9
|
|
| 09.09.2022, 08:53 | |
|
insect_87, Добрый день! Выкладываю всю информацию. IP адреса полностью не стал писать, если они так важны, то скажите
/interface bridge add name=Local /interface ethernet set [ find default-name=ether7 ] name=ether_LAN set [ find default-name=ether6 ] name=ether_WAN /disk set sata1 disabled=no set sata1-part1 disabled=no name=disk1 /interface wireless security-profiles set [ find default=yes ] supplicant-identity=MikroTik /port set 0 name=serial0 set 1 name=serial1 /interface bridge port add bridge=Local interface=ether_LAN /ip address add address=10.10.0.1/16 interface=Local network=10.10.0.0 add address=84..248/28 interface=ether_WAN network=84.240 /ip dns set allow-remote-requests=yes servers=8.8.8.8,1.1.1.1 /ip firewall filter add action=accept chain=forward /ip firewall nat add action=masquerade chain=srcnat /ip route add disabled=no dst-address=0.0.0.0/0 gateway=84..241 routing-table=main \ suppress-hw-offload=no /system clock set time-zone-autodetect=no time-zone-name=Asia/Tashkent
0
|
|
|
11438 / 7007 / 1903
Регистрация: 25.12.2012
Сообщений: 29,402
|
||||||||||||||||
| 09.09.2022, 09:35 | ||||||||||||||||
|
ну так у вас нет запрещающего правила в firewall filter, все всем разрешено
2. в NAT укажите out-interface=ether_WAN
0
|
||||||||||||||||
5605 / 2215 / 474
Регистрация: 17.10.2015
Сообщений: 9,403
|
|||
| 11.09.2022, 07:17 | |||
0
|
|||
Сообщение от Denis_py
|
0 / 0 / 0
Регистрация: 08.09.2022
Сообщений: 9
|
|
| 12.09.2022, 08:38 | |
|
romsan, Доброе утро! Именно так, все прописаны были в ручную. Изначально стоял dhcp, но позже решил полностью статично прописать всё
0
|
|
|
11438 / 7007 / 1903
Регистрация: 25.12.2012
Сообщений: 29,402
|
|
| 12.09.2022, 09:13 | |
|
/ip firewall address-list
add address=192.168.88.2 list=BLOCKED add address=192.168.88.100-192.168.88.110 list=BLOCKED /ip firewall filter add action=drop chain=forward src-address-list=BLOCKED out-interface=WAN
0
|
|
|
0 / 0 / 0
Регистрация: 08.09.2022
Сообщений: 9
|
|
| 12.09.2022, 09:23 | |
|
insect_87, Огромное спасибо Вам за краткий и четкий ответ. Сейчас буду пробовать)
Добавлено через 4 минуты insect_87, Всё сработало. Спасибо
0
|
|
|
3 / 3 / 0
Регистрация: 02.01.2016
Сообщений: 157
|
||
| 14.09.2022, 09:26 | ||
firewall filter chain=forward с action=drop, in.interface list=List_Local, dst-address-list=bogon
0
|
||
|
11438 / 7007 / 1903
Регистрация: 25.12.2012
Сообщений: 29,402
|
|
| 14.09.2022, 09:58 | |
|
а вы создали сами списки интерфейсов и добавили в них интерфейсы?
1
|
|
|
3 / 3 / 0
Регистрация: 02.01.2016
Сообщений: 157
|
||||||||
| 14.09.2022, 12:15 | ||||||||
/ip firewall address-list add address=0.0.0.0/8 disabled=no list=BOGON add address=10.0.0.0/8 disabled=no list=BOGON add address=100.64.0.0/10 disabled=no list=BOGON add address=127.0.0.0/8 disabled=no list=BOGON add address=169.254.0.0/16 disabled=no list=BOGON add address=172.16.0.0/12 disabled=no list=BOGON add address=192.0.0.0/24 disabled=no list=BOGON add address=192.0.2.0/24 disabled=no list=BOGON add address=192.168.0.0/16 disabled=no list=BOGON add address=198.18.0.0/15 disabled=no list=BOGON add address=198.51.100.0/24 disabled=no list=BOGON add address=203.0.113.0/24 disabled=no list=BOGON add address=224.0.0.0/4 disabled=no list=BOGON add address=240.0.0.0/4 disabled=no list=BOGON Да, списки интерфейсов создал сам. Добавлено через 2 часа 7 минут
0
|
||||||||
|
11438 / 7007 / 1903
Регистрация: 25.12.2012
Сообщений: 29,402
|
|
| 14.09.2022, 13:51 | |
|
да, можно так, но я такое правило считаю бессмысленным.
проще все на wan в forward дропать. а обратные пакеты пропускать по established,related
1
|
|
|
3 / 3 / 0
Регистрация: 02.01.2016
Сообщений: 157
|
|||||||
| 14.09.2022, 15:18 | |||||||
|
Источник пакетов - bogon-сетки
List_WAN - интерфейсы, с которых приходят проверяемые пакеты. Как видите Вы более оптимизировано?
0
|
|||||||
|
11438 / 7007 / 1903
Регистрация: 25.12.2012
Сообщений: 29,402
|
|||||||||||
| 14.09.2022, 15:34 | |||||||||||
|
Более оптимизировано так:
1
|
|||||||||||
|
3 / 3 / 0
Регистрация: 02.01.2016
Сообщений: 157
|
|
| 14.09.2022, 15:39 | |
|
Понял, большое спасибо!!!
0
|
|
Надоела реклама? Зарегистрируйтесь и она исчезнет полностью.
| 14.09.2022, 15:39 | |
|
Помогаю со студенческими работами здесь
18
Как ограничить доступ к сети для отдельных приложений на устройствах в локальной сети Как получить доступ к сети интернет 2 компьютерам ( в 1 локальной сети но в разных подсетях) с Windows 7 Организация локальной сети (разрешить\открыть доступ по сети) подключение к серверу на внутренней сети через сервер офиса для отправки почты по внутренней сети Доступ к локальной сети к сети провайдера Искать еще темы с ответами Или воспользуйтесь поиском по форуму: |
|
Новые блоги и статьи
|
|||
|
Модель микоризы: классовый агентный подход 3
anaschu 06.01.2026
aa0a7f55b50dd51c5ec569d2d10c54f6/
O1rJuneU_ls
https:/ / vkvideo. ru/ video-115721503_456239114
|
Owen Logic: О недопустимости использования связки «аналоговый ПИД» + RegKZR
ФедосеевПавел 06.01.2026
Owen Logic: О недопустимости использования связки «аналоговый ПИД» + RegKZR
ВВЕДЕНИЕ
Введу сокращения:
аналоговый ПИД — ПИД регулятор с управляющим выходом в виде числа в диапазоне от 0% до. . .
|
Модель микоризы: классовый агентный подход 2
anaschu 06.01.2026
репозиторий https:/ / github. com/ shumilovas/ fungi
ветка по-частям.
коммит Create переделка под биомассу. txt
вход sc, но sm считается внутри мицелия. кстати, обьем тоже должен там считаться. . . .
|
Расчёт токов в цепи постоянного тока
igorrr37 05.01.2026
/ *
Дана цепь постоянного тока с сопротивлениями и напряжениями. Надо найти токи в ветвях.
Программа составляет систему уравнений по 1 и 2 законам Кирхгофа и решает её.
Последовательность действий:. . .
|
|
Новый CodeBlocs. Версия 25.03
palva 04.01.2026
Оказывается, недавно вышла новая версия CodeBlocks за номером 25. 03. Когда-то давно я возился с только что вышедшей тогда версией 20. 03. С тех пор я давно снёс всё с компьютера и забыл. Теперь. . .
|
Модель микоризы: классовый агентный подход
anaschu 02.01.2026
Раньше это было два гриба и бактерия. Теперь три гриба, растение.
И на уровне агентов добавится между грибами или бактериями взаимодействий.
До того я пробовал подход через многомерные массивы,. . .
|
Советы по крайней бережливости. Внимание, это ОЧЕНЬ длинный пост.
Programma_Boinc 28.12.2025
Советы по крайней бережливости. Внимание, это ОЧЕНЬ длинный пост.
Налог на собак: https:/ / **********/ gallery/ V06K53e
Финансовый отчет в Excel: https:/ / **********/ gallery/ bKBkQFf
Пост отсюда. . .
|
Кто-нибудь знает, где можно бесплатно получить настольный компьютер или ноутбук? США.
Programma_Boinc 26.12.2025
Нашел на реддите интересную статью под названием Anyone know where to get a free Desktop or Laptop?
Ниже её машинный перевод.
После долгих разбирательств я наконец-то вернула себе. . .
|
Наверх