Zákaz do internetu z vnitrnich IP

[mewriksh]

Ma prozbu, mam rozsah adres ve vnitrnim rozsahu priklad 192.168.10.0/24 a potreboval bych nektere z adres zablokovat pro pristup na net ale v lokalce aby bezely, pujde to udelat??? Mam vytvorenou maskaradu. Jeste dopisu presny priklad´: IP 192.168.10.10 nesmi jit do internetu ale musi fungovat po lokalce a IP 192.168.10.20 musi jit do netu i po lokalce. Prosim poradte. Dekuji

[hapi]

/ip firewall filter add chain=forward out-interface=ether1 src-address=192.168.10.0/24 action=drop

out-interface si doplně podle tvýho interface do netu.

A nebo uprav natovací pravidlo že tam zadáš do src-address ten subnet a zaškrtneš tam to políčko před tim aby tam byl vykřičník. Tim pádem se bude natovat všechno kromě tohodle subnetu

[pthv]

tohle musis zadat do prikazove radky (napriklad New Terminal) a nebo naklikat ve winboxu. Za WAN si dosad rozhrani, ktere jde do internetu.

Kód: Vybrat vše

ip firewall filter add chain=forward src-address=192.168.10.20 out-interface=WAN action=drop

nebo

Kód: Vybrat vše

ip firewall filter add chain=forward src-address=192.168.10.20 out-interface=WAN action=reject reject-with=icmp-network-unreachable

[mewriksh]

Mam jeste dotaz, kdyz bych potreboval na tech zakazanych PC do netu povolit jen treba seznam.cz slo by to??? Jen kuli emailu a informacim. Jde to nastavit???

[Leeonek]

Do pravidla můžeš ještě dát upřesnění dst address a dáš tam negaci na adresu seznamu kterou zjistíš pingem. Tím pádem pravidlo bude fungovat na všechno, mimo adresu seznamu. Pokud bys to chtěl udělat na více ip, budeš muset nejdřím accept přímo ty ip a pak bude následovat výše uváděný drop

[Ajfel]

Do pravidla můžeš ještě dát upřesnění dst address a dáš tam negaci na adresu seznamu kterou zjistíš pingem. Tím pádem pravidlo bude fungovat na všechno, mimo adresu seznamu. Pokud bys to chtěl udělat na více ip, budeš muset nejdřím accept přímo ty ip a pak bude následovat výše uváděný drop

a co treba address list se seznamem povolenych serveru a cely ten adreslist negovat v tom jednom pravidle ?

[mewriksh]

Hih, priznam se ze jsem vas ted moc nepochopil, muzete prosim uvest priklad?? Vyzkousim to a dam vedet....prosim...

[Ajfel]

Kód: Vybrat vše

add action=drop chain=forward comment="" disabled=no src-address-list=zakazane_ip_do_netu dst-address-list=povolene_weby out-interface=wan

a k tomu address listy:
ip co nemaji jit do netu

Kód: Vybrat vše

add address=192.168.10.20 comment=User_IP disabled=no list=zakazane_ip_do_netu

ip webserveru, ktere maji jit zobrazit

Kód: Vybrat vše

add address=ip_adresa_www.seznam.cz comment= disabled=no list=povolene_weby

[Ajfel]

Funguje to, vyzkousel jsem to, problem je, za stejne spousta webu ma v sobe odkaz na nejakou statistiku nebo nejake sledovani nekde jinde, diky kteremu to bude dlouho trvat, nez se ti ta stranka zobrazi, leda bys to pozkousel a pridal tam i ip tech veci, ktere si ty stranky vyvolaji sami, treba seznam.cz chce neco po serveri 1.im.cz, hit.gemius.pl a mozna i dalsi, nevim nezkoumal jsem podrobne

[mewriksh]

Tak asi nekde delam chybu ale nevim kde proste mi to neleze ani si nepingnu...

[mewriksh]

Hih, tak to je zajimyvy, kdyz to udelam jak pises tak kdyz dam do adrs

Kód: Vybrat vše

add action=drop chain=forward comment="" disabled=no src-address-list=zakazane_ip_do_netu dst-address-list=povolene_weby out-interface=wan

a k tomu address listy:
ip co nemaji jit do netu

Kód: Vybrat vše

add address=192.168.10.20 comment=User_IP disabled=no list=zakazane_ip_do_netu

ip webserveru, ktere maji jit zobrazit

Kód: Vybrat vše

add address=ip_adresa_www.seznam.cz comment= disabled=no list=povolene_weby

Tak kdyz to udelam jak pises a zadam do adress listu ip ktere maji byt pristune, tak jedina ta se mi zakaze a vse ostatni bezi...opravdu to nechapu...
MK verze 3.11 na PC.
Fakt nemam tuseni kde muzu delat chybu....

[Ajfel]

Hih, tak to je zajimyvy, kdyz to udelam jak pises tak kdyz dam do adrs

Kód: Vybrat vše

add action=drop chain=forward comment="" disabled=no src-address-list=zakazane_ip_do_netu dst-address-list=povolene_weby out-interface=wan

a k tomu address listy:
ip co nemaji jit do netu

Kód: Vybrat vše

add address=192.168.10.20 comment=User_IP disabled=no list=zakazane_ip_do_netu

ip webserveru, ktere maji jit zobrazit

Kód: Vybrat vše

add address=ip_adresa_www.seznam.cz comment= disabled=no list=povolene_weby

Tak kdyz to udelam jak pises a zadam do adress listu ip ktere maji byt pristune, tak jedina ta se mi zakaze a vse ostatni bezi...opravdu to nechapu...
MK verze 3.11 na PC.
Fakt nemam tuseni kde muzu delat chybu....

OPRAVA:

add action=drop chain=forward comment="" disabled=no dst-address-list=!povolene_weby out-interface=wan src-address-list=zakazane_ip_do_netu

[mewriksh]

Hih, tak to je zajimyvy, kdyz to udelam jak pises tak kdyz dam do adrs

Kód: Vybrat vše

add action=drop chain=forward comment="" disabled=no src-address-list=zakazane_ip_do_netu dst-address-list=povolene_weby out-interface=wan

a k tomu address listy:
ip co nemaji jit do netu

Kód: Vybrat vše

add address=192.168.10.20 comment=User_IP disabled=no list=zakazane_ip_do_netu

ip webserveru, ktere maji jit zobrazit

Kód: Vybrat vše

add address=ip_adresa_www.seznam.cz comment= disabled=no list=povolene_weby

Tak kdyz to udelam jak pises a zadam do adress listu ip ktere maji byt pristune, tak jedina ta se mi zakaze a vse ostatni bezi...opravdu to nechapu...
MK verze 3.11 na PC.
Fakt nemam tuseni kde muzu delat chybu....

OPRAVA:

add action=drop chain=forward comment="" disabled=no dst-address-list=!povolene_weby out-interface=wan src-address-list=zakazane_ip_do_netu

Jak tak na to koukam taky se mi zda ze je to uplne stejny.
Prosim mrkni se jeste na to.
Dik

[Ajfel]

Neni to stejne, u dst-addresslist je navic vykricnik

[mewriksh]

Tak uz jsem na to prisel, sorry... Ale i pres to mam problem, ping mi proleze O.K. ale stranka se nenacte, vcem by mohl byt jeste hacek??