forum.lan.md

[bozeak]

День добрый!
Купили микротик для раздачи интернета по зданию, сеть немалая, все работают, инет бегает туда сюда, все рады, но в связи с некоторыми обстоятельствами, ибо политика у начальства таккая что не работаешь хорошо - долой интернет, но при этом почта должна быть!
Микротик для общего пользования настроили по туториалам Айтек-а.
Теперь, так как сильно я не разбираюсь в роутинге, объясните пожалуйста как сделать так что-б при отключенном интернете у пользователя он мог отправлять/получать почту на 25-ом и 110-ом портах.
Заранее благодарю!

[Igoras]

А для этого не надо разбираться в рутинге, надо разбираться в фаерволле...
А именно, надо добавить перед правилом, запрещающим серфить каким-то адресам, правило, которое бы разрешало им доступ к 25 и 110 порту.

[bozeak]

А для этого не надо разбираться в рутинге, надо разбираться в фаерволле...
А именно, надо добавить перед правилом, запрещающим серфить каким-то адресам, правило, которое бы разрешало им доступ к 25 и 110 порту.

Я пытался написать правило для подключения к 25 tcp порту, поставил перед правилом drop, реакция ноль!
Если не сложно, для наглядности, приведите пример правильного правила! Может я что-то не так понимаю?!

[KirillTs]

Если открыл 25 порт, почта отправляться должна.... конечно если не используется какой нить нестандартный порт..
/ip firewall filter
add chain=forward action=accept protocol=tcp dst-port=25

[bozeak]

Если открыл 25 порт, почта отправляться должна.... конечно если не используется какой нить нестандартный порт..
/ip firewall filter
add chain=forward action=accept protocol=tcp dst-port=25

Порты стандартные! Целый день ужо парюсь с этой проблемой и даже ваше предложение не помогает!
КУда копать, может нужна дополнительная информация!

[Igoras]

bozeak,

текущие правила фаерволла в студию... может там чейны какие хитрые юзаются... или еще что

[bozeak]

bozeak,

текущие правила фаерволла в студию... может там чейны какие хитрые юзаются... или еще что

вот экспорт того что сейчас есть, без правил для 25 и 110 портов:

Код: Выделить всё

/ip firewall filter
add action=accept chain=input comment="Added by webbox" disabled=no protocol=\
    icmp
add action=accept chain=input comment="Added by webbox" connection-state=\
    established disabled=no in-interface=ether1
add action=accept chain=input comment="Added by webbox" connection-state=\
    related disabled=no in-interface=ether1
add action=drop chain=input comment="Added by webbox" disabled=no \
    in-interface=ether1
add action=jump chain=forward comment="Added by webbox" connection-type="" \
    disabled=no jump-target=customer
add action=accept chain=customer comment="Added by webbox" connection-state=\
    established disabled=no
add action=accept chain=customer comment="Added by webbox" connection-state=\
    related disabled=no
add action=drop chain=customer comment="Added by webbox" disabled=no
add action=drop chain=forward comment="" disabled=no p2p=all-p2p src-address=\
    !192.168.1.2-192.168.1.14

[Igoras]

Код: Выделить всё

add chain=customer action=accept protocol=tcp dst-port=25

добавить перед

Код: Выделить всё

add action=drop chain=customer comment="Added by webbox" disabled=no

кстати, а что

Код: Выделить всё

add action=drop chain=forward comment="" disabled=no p2p=all-p2p src-address=\
    !192.168.1.2-192.168.1.14

работает? по сути не должно

[bozeak]

Мда блин!
Не хочет работать то что предложили выше! А вот с all-p2p работает на ура, оставили только для себя и БОЛЬШОГО начальства!
Что может быть?!

[Igoras]

Больше идей нет - надо копать... возможно что-то пустяковое что будет видно сразу же...

Кстати, че-то не вижу правила чтобы блочился инет для неугодных, где оно?

[bozeak]

Кстати, че-то не вижу правила чтобы блочился инет для неугодных, где оно?

Инет для неугодных отключаеться в ARP листе! А есть другие способы?

[Igoras]

Ах, вот оно что... так с этого и следовало начинать Интересно, как предполагалось разрешить тем, пакеты которым не отправляются на Ethernet-уровне разрешить доступ к выбранным портам на уровне tcp, который выше

Способов есть куча, самым простым будет создание списка адресов которым "можно" и списка адресов которым "можно, но только почту"... если сеть можно всем, без второго списка можно обойтись.
Затем создается 3 правила:
add chain=forward action=accept protocol=tcp dst-port=25,110 in-interface=LAN src-address-list="те-кому-можно-почту" (если почту можно всем, последний параметр не указываем)
add chain=forward action=accept src-address-list = "те-кому-можно-инет" in-interface=LAN
add chain=forward action=drop in-interface=LAN

И включаем ARP в нормальный режим работы. Чтобы защититься от возможной подмены IP-адресов, можно MAC-адреса тех, кому можно инет, конечно, сделать статичными...

[bozeak]

Блин, так это все 70 клиентов в сети надо вбивать в ручную!
И что на каждого надо будет создавать запись в аддресс листе?

Посидел, подумал, почитал, понял что надо политику сети пересматривать! И так что мне нужно:
1. Создать 3 группы в адрес-листе: 1.1 Которым можно всё (админы, куча начальников, + те кто относятся хорошо к админам =)
1.2 Которым почти всё можно (кроме торрентов и пустого шастанья по сети)
1.3 Плохие мальчики и девочки которые не слушаются, но которым надо оставить почту

2. Прикрыть доступ к p2p всем пользователям в сети, кроме 1.1
3. Запретить всё кроме почты пользователям из группы 1.3

С 1-м и 3-им пунктом у меня представление как реализовать уже есть а вот насчет 2-го пункта не могли бы посоветовать какие нибудь нормальные пути решения данного вопроса!

[FAST-NET]

Eu ieri am introdus vreo 300 shi nu mi-o cazut minile...

[bozeak]

Eu ieri am introdus vreo 300 shi nu mi-o cazut minile...

Eu de aceasta nu ma tem!