Archi
при активации данного правила /ip firewall add chain=prerouting action=mark-routing new-routing-mark="lan_out_ISP2" passthrough=no у меня шлюз не пингуется, но пути в роутах все прописаны
Алексей
Чуваки а ведь на один и тот же бридж можно же вешать несколько айпи из разных сетей, это ведь ничем не чревато?
Anonymous
всё ок будет
Anonymous
хоть тыщу адресов
Алексей
хоть тыщу адресов
да он просто в продакшене висит😀 чота я там в свое время на городил: разные свич группы в разные бриджи объединил, щас хочу поплоще сделать схему, все в один бридж и повесить на него из двух сетей айпишники
Anonymous
вешай
Anonymous
ничё не будет
Anonymous
бекап олько сделай
Алексей
Ctrl+X никто не отменял все-таки...
Игорь
Всем привет, я уже писал об этом мне надо сделать что бы с компа работали только 3 сайта и все, остальной иное не открывался
Игорь
Игорь
Я добавил правило в фраер вол
Игорь
Но таким образом я блочу только вк, а мне надо что бы вк работал а остальные сайты не открывались
Игорь
Алексей
может надо убрать !
Игорь
Если ставлю восклицательный знак то вообще ничего не открывается
Алексей
! делает исключение того что в поле указано
Алексей
наверное надо тебе все запретить и выше уже сделать разрешающее правило на вк и прочее
Игорь
Anonymous
может с днс-ами проще поиграться? пусть он резолвит толко эти три сайта.. а остальное шлёт нафиг
Игорь
Это надо только для одного компа в локалке
Archi
может ему просто файл хост написть с нужными адресами, а ручками в настройках сетевого адаптера 127.0.0.1
Archi
ради одного и не трудно,
Игорь
А если потом надо будет на 10 это сделать
Игорь
Лучше сразу заморочиться
Игорь
)) да кстати
Archi
балин, копирнешь им этот файлик 10 раз, они даже не узнают, что и как работает, что за юзверы?
Игорь
Бухи мне надо это реализовать через Микротик
Archi
Archi
создай пул адресов на микроте с днс адресом левым, а файл хост сделай на нужные и усе
Игорь
Блин если мне надо будет список сайтов менять постоянно что я по компам прыгать буду, мне не надо файликом хост, мне надо адекватное решение через Микротик
Игорь
И оно есть
Evgenii
сделай DNS сервер отдельный или метароутер или на другом мироктике
Evgenii
и DNS заросы с нужных компов заворачивай туда
Игорь
А что файрволом это нельзя сделать?
Evgenii
через dst-nat
Evgenii
фаерволом сильно дороже выйдет
Evgenii
и вообще не выйдет
Evgenii
т.к. HTTPS
Игорь
У мину стоит там ССР проц загружен на 1%
Evgenii
лучше включи на нем простые PPC очереди
Evgenii
более разумная трата ресурсов
Evgenii
HTTPS ты как отфильтруешь?
Evgenii
если у тебя нет своего прокси сервера, который делает терминейшн HTTPS по середине и если на компах не стоит его сертификат, то никак
Evgenii
а если есть, то это не микротик)
Игорь
Хочешь сказать на Микротике этого не сделать?
Evgenii
я не уверен, но на обычном микротике я бы не стал. Задача требует много ресурсов
Игорь
Если можно запретить все, значит можно и открыть часть
Evgenii
как ты эту часть найдешь?
Evgenii
HTTPS же
Игорь
Белый чёрный лист
Evgenii
да не видно что внутри, ну камон!
Evgenii
микротик ничего не знает о том, что пересылает
Evgenii
почитай про HTTPS и вопросы отпадут
Игорь
По-любому есть решение
Evgenii
решения 2. оба я озвучил выше
Evgenii
либо фильтровать на стадии DNS реквестов, либо какой нубудь KErio Control (все что способно на терминирование HTTPS со своими сертфикатами, сгеренрированными на лету)
Алексей
либо фильтровать на стадии DNS реквестов, либо какой нубудь KErio Control (все что способно на терминирование HTTPS со своими сертфикатами, сгеренрированными на лету)
"доступный" керио без веб фильтров вообще ни о чем...
Игорь
Ну ты вот такой самоуверенный я вот больше чем уверен что их не 2 а больше
Игорь
Мне помощь нужна а ты мне говоришь что никак и что мне делать бросит все? И уволится с работы)
Evgenii
Ну ты вот такой самоуверенный я вот больше чем уверен что их не 2 а больше
ты в фильтре указываешь контент vk.com Помнишь?
роутер не сможет увидеть это содержимое, т.к. HTTPS использует ассиметричное шифрование из конца в конец
Алексей
Мне помощь нужна а ты мне говоришь что никак и что мне делать бросит все? И уволится с работы)
ну не может микротик проксировать https что тут сделать-то...
Игорь
У него есть веб прокси
Archi
про сквид я хотел сказать, но если его нет долго его нужно делать потратить больше времени чем файлик хост раскидать, установи радмин и кидай файл, не нужно бегать по компам
Алексей
про сквид я хотел сказать, но если его нет долго его нужно делать потратить больше времени чем файлик хост раскидать, установи радмин и кидай файл, не нужно бегать по компам
это понятно, способ совсем на дурака, главное быть уверенным что бухгалтер не продвинутый :)
Evgenii
2 варианта. терминируй DNS запросы на специальный DNS сервер где разрешено только 3 сайта. Или используй что то что умеет ПРОЗРАЧНО пропускать через себя HTTPS трафик. Но тогда придестся заморочиться с сертификатами на каждом клиенте!
Игорь
Ребят вы чего какие флуд разводите, я объясняю что мне надо это реализовать через Микротик что тут не понятного, если вы помоч не можете зачем писать
Archi
создать ограниченного юзера на локалке тоже можно, а лучще домен и вообще не париться, что с подменай хостс. что с настройками сетевух
Evgenii
ну сделай через DNS, микротиком меняй DST адрес. Сделай метароутер
Evgenii
хотя можно сейчас DNS имена использовать в dst-address
Evgenii
так что наверное ты все же прав насчет еще одного способа. Создай адрес лист с белыми сайтами
Evgenii
и в фаерволе разрешай доступ только к ним
Evgenii
сейчас напишу скрипт
Игорь
Спасибо, буду очень благодарен
Evgenii
/ip firewall filter
add action=accept chain=forward dst-address-list=Roskomnadzor src-address-list=buh
Evgenii
адрес листы только создай
Игорь
А в адрес лист весь инет нудно будет добавить