classic.ISPforum.cz

Ma prozbu, mam rozsah adres ve vnitrnim rozsahu priklad 192.168.10.0/24 a potreboval bych nektere z adres zablokovat pro pristup na net ale v lokalce aby bezely, pujde to udelat??? Mam vytvorenou maskaradu. Jeste dopisu presny priklad´: IP 192.168.10.10 nesmi jit do internetu ale musi fungovat po lokalce a IP 192.168.10.20 musi jit do netu i po lokalce. Prosim poradte. Dekuji

/ip firewall filter add chain=forward out-interface=ether1 src-address=192.168.10.0/24 action=drop

out-interface si doplně podle tvýho interface do netu.

A nebo uprav natovací pravidlo že tam zadáš do src-address ten subnet a zaškrtneš tam to políčko před tim aby tam byl vykřičník. Tim pádem se bude natovat všechno kromě tohodle subnetu

tohle musis zadat do prikazove radky (napriklad New Terminal) a nebo naklikat ve winboxu. Za WAN si dosad rozhrani, ktere jde do internetu.

nebo

Mam jeste dotaz, kdyz bych potreboval na tech zakazanych PC do netu povolit jen treba seznam.cz slo by to??? Jen kuli emailu a informacim. Jde to nastavit???

Do pravidla můžeš ještě dát upřesnění dst address a dáš tam negaci na adresu seznamu kterou zjistíš pingem. Tím pádem pravidlo bude fungovat na všechno, mimo adresu seznamu. Pokud bys to chtěl udělat na více ip, budeš muset nejdřím accept přímo ty ip a pak bude následovat výše uváděný drop

Leeonek píše:Do pravidla můžeš ještě dát upřesnění dst address a dáš tam negaci na adresu seznamu kterou zjistíš pingem. Tím pádem pravidlo bude fungovat na všechno, mimo adresu seznamu. Pokud bys to chtěl udělat na více ip, budeš muset nejdřím accept přímo ty ip a pak bude následovat výše uváděný drop

a co treba address list se seznamem povolenych serveru a cely ten adreslist negovat v tom jednom pravidle ?

Hih, priznam se ze jsem vas ted moc nepochopil, muzete prosim uvest priklad?? Vyzkousim to a dam vedet....prosim...

a k tomu address listy:
ip co nemaji jit do netu

ip webserveru, ktere maji jit zobrazit

Funguje to, vyzkousel jsem to, problem je, za stejne spousta webu ma v sobe odkaz na nejakou statistiku nebo nejake sledovani nekde jinde, diky kteremu to bude dlouho trvat, nez se ti ta stranka zobrazi, leda bys to pozkousel a pridal tam i ip tech veci, ktere si ty stranky vyvolaji sami, treba seznam.cz chce neco po serveri 1.im.cz, hit.gemius.pl a mozna i dalsi, nevim nezkoumal jsem podrobne

Tak asi nekde delam chybu ale nevim kde proste mi to neleze ani si nepingnu...

Hih, tak to je zajimyvy, kdyz to udelam jak pises tak kdyz dam do adrs

Ajfel píše:

Kód: Vybrat vše

add action=drop chain=forward comment="" disabled=no src-address-list=zakazane_ip_do_netu dst-address-list=povolene_weby out-interface=wan

a k tomu address listy:
ip co nemaji jit do netu

Kód: Vybrat vše

add address=192.168.10.20 comment=User_IP disabled=no list=zakazane_ip_do_netu

ip webserveru, ktere maji jit zobrazit

Kód: Vybrat vše

add address=ip_adresa_www.seznam.cz comment= disabled=no list=povolene_weby

Tak kdyz to udelam jak pises a zadam do adress listu ip ktere maji byt pristune, tak jedina ta se mi zakaze a vse ostatni bezi...opravdu to nechapu...
MK verze 3.11 na PC.
Fakt nemam tuseni kde muzu delat chybu....

mewriksh píše:Hih, tak to je zajimyvy, kdyz to udelam jak pises tak kdyz dam do adrs

Ajfel píše:

Kód: Vybrat vše

add action=drop chain=forward comment="" disabled=no src-address-list=zakazane_ip_do_netu dst-address-list=povolene_weby out-interface=wan

a k tomu address listy:
ip co nemaji jit do netu

Kód: Vybrat vše

add address=192.168.10.20 comment=User_IP disabled=no list=zakazane_ip_do_netu

ip webserveru, ktere maji jit zobrazit

Kód: Vybrat vše

add address=ip_adresa_www.seznam.cz comment= disabled=no list=povolene_weby

Tak kdyz to udelam jak pises a zadam do adress listu ip ktere maji byt pristune, tak jedina ta se mi zakaze a vse ostatni bezi...opravdu to nechapu...
MK verze 3.11 na PC.
Fakt nemam tuseni kde muzu delat chybu....

OPRAVA:

add action=drop chain=forward comment="" disabled=no dst-address-list=!povolene_weby out-interface=wan src-address-list=zakazane_ip_do_netu

Ajfel píše:

mewriksh píše:Hih, tak to je zajimyvy, kdyz to udelam jak pises tak kdyz dam do adrs

Ajfel píše:

Kód: Vybrat vše

add action=drop chain=forward comment="" disabled=no src-address-list=zakazane_ip_do_netu dst-address-list=povolene_weby out-interface=wan

a k tomu address listy:
ip co nemaji jit do netu

Kód: Vybrat vše

add address=192.168.10.20 comment=User_IP disabled=no list=zakazane_ip_do_netu

ip webserveru, ktere maji jit zobrazit

Kód: Vybrat vše

add address=ip_adresa_www.seznam.cz comment= disabled=no list=povolene_weby

Tak kdyz to udelam jak pises a zadam do adress listu ip ktere maji byt pristune, tak jedina ta se mi zakaze a vse ostatni bezi...opravdu to nechapu...
MK verze 3.11 na PC.
Fakt nemam tuseni kde muzu delat chybu....

OPRAVA:

add action=drop chain=forward comment="" disabled=no dst-address-list=!povolene_weby out-interface=wan src-address-list=zakazane_ip_do_netu

Jak tak na to koukam taky se mi zda ze je to uplne stejny.
Prosim mrkni se jeste na to.
Dik

Neni to stejne, u dst-addresslist je navic vykricnik

Tak uz jsem na to prisel, sorry... Ale i pres to mam problem, ping mi proleze O.K. ale stranka se nenacte, vcem by mohl byt jeste hacek??