иначе он бонд соберет, но ходить все будет через 1 порт

т.е. скорость не увеличится

тока отказоустойчивость появится

тока отказоустойчивость появится

в случае динамик лакп соотвессна

в статик и отказоустойчивости не будет

А не может быть же не только 443 https ???

chain=forward action=drop protocol=tcp dst-address=0.0.0.0/0 layer7-protocol=BL dst-port=443 log=no log-prefix=""

Ибо отрабатывает это, т.е. https://yandex.ru и прочее работает

А не может быть же не только 443 https ???

может

в статик и отказоустойчивости не будет

мне надо именно пропускную способность увеличить

Ну это не гуд...

соточки маловато

мне надо именно пропускную способность увеличить

пробуй перебором, там не много параметров

Ну это не гуд...

так, давай попорядку

у тебя есть 5 сайтв... так?

делай из них лист

Ну это не гуд...

https://habrahabr.ru/sandbox/67786/

вобщем так, но наоборот )

там отдельные блочат, а тебе надо разрешать

)

Та по идее прокси - блочи все - и гуд! НО! За исключение HTTPS, т.к. не все на 443 порту

осталось закрыть на глухо весь HTTPS - вообще ВЕСЬ и все

/ip proxy access add src-address=192.168.88.0/24 dst-host=mail.ru action=allow /ip proxy access add src-address=192.168.88.0/24 dst-host=google.ru action=allow /ip proxy access add src-address=192.168.88.0/24 dst-host=* action=deny

думаю так проще будет

Сергей, HTTPS трафик прокси НЕ отрабатывает, т.е. не трогает вообще, просто пропускает и все

Сергей, HTTPS трафик прокси НЕ отрабатывает, т.е. не трогает вообще, просто пропускает и все

/ip proxy access add src-address=192.168.88.0/24 dst-host=* action=deny

Вот в чем соль... а так - да, * - и все закрыто за исключением того, что нужно! Но тут - HTTPS появляется ((

Стоп стоп, понял мысль, но... Попробую

в срц - твоя сеть

Да

Это понятно )

Та по идее прокси - блочи все - и гуд! НО! За исключение HTTPS, т.к. не все на 443 порту

я бы тупо в фильтре файрвола разрешил конекты к нужным айпишка. так куда проще. тупо узнать айпишки где хостятся нужные ресурсы. вторым правилом закрыл всё по 80, 443 порту. третим правилом ловил бы SSL по Л7 и тоже блочил конект(перестраховка от умников с нестандартными портами)

https://yandex.ru/ - пускает (

Вот ведомо и остаются гуглы, ютубы НЕ на 443 порту ( и прочие

Как то да, ведомо в л7 вылавливать

засада :\

тики не умеют блочить хттпс

Вот вот ( пока без костылей ни как

тут остается только днс резать

да, ДНС можно зарезать

или поднять свой днс, в котором только 5 сайтов прописаны

а еще - какие конекты нужны в школе?

может зарезать ВСЁ и разрешать нужное?

и сказать микротику, что кроме этого, днсов ваашпе нет )

Но вот вопрос: тогда по ip:порт будут сайты открываться?

неа

может зарезать ВСЁ и разрешать нужное?

если так - нет

Нужны 5 ресурсов от минобразование и ВСЕ

обычно апачи ожидают обращения по нужному имени. разве что на серваке только один сайт

обычно апачи ожидают обращения по нужному имени. разве что на серваке только один сайт

+

что врядли

белый список адресов и не париться

в чем проблема то

в чем проблема то

хттпс

новые версии умеют список из хостов

хттпс

и что? ип и в африке ип

в общем Александр, ПРОЩЕ ВСЕГО(но не скажу что умней) - в файрволе на форварде блочить всё. При потребности ПЕРЕД этим правилом добавлять разрешающие на нужные ресурсы

наврятли на ип адресе минобра будет порнохаю по хттпс

в общем Александр, ПРОЩЕ ВСЕГО(но не скажу что умней) - в файрволе на форварде блочить всё. При потребности ПЕРЕД этим правилом добавлять разрешающие на нужные ресурсы

главное управление не забыть добавить)

Это да ))

еще неплохо ограничить icmp, udp/53

а то умные пошли, затунелить могут

знаю что часто этот трафик не ограничивают

ну и выгружать нетфлоу и мониторить его изредка

нууу. 53й на тиках я бы вообще блочил

вообще не надо

в общем, не грузите человека лишней инфой. ?

ERROR: S client not available

была история, када тик ломали и аплоад на максимум с :53 ...

стандартное правильно на вход и можно редирект на локальный кэширующий

была история, када тик ломали и аплоад на максимум с :53 ...

а чо там ломать, в дефолтовом конфиге рекурсор во внешний мир настроен

классический dns amplification

угу

chain=forward action=drop protocol=tcp src-address=10.5.5.0/24 dst-address=0.0.0.0/0 log=no log-prefix=""

ну типа да

А отчего это правило (второе после доступа на ТИК) пускает куда угодно

покажи експорт всего фильтра

add chain=forward dst-address=10.5.5.254 protocol=tcp src-address=10.5.5.0/24 add action=drop chain=forward dst-address=0.0.0.0/0 protocol=tcp src-address=10.5.5.0/24 add chain=input dst-address=46.39.21.133 dst-port=3389 in-interface=WAN1_eth1_uplink protocol=tcp add chain=input dst-address=10.5.5.1 dst-port=80 protocol=tcp add chain=input comment=z_agents dst-port=10050 protocol=tcp src-address=10.5.5.0/24 add chain=input comment=z_server dst-address=10.5.2.244 dst-port=10051 protocol=tcp add action=drop chain=input comment="drop invalid connections" connection-state=invalid log=yes log-prefix=drop_ add chain=input comment="allow related connections" connection-state=related add chain=input comment="allow established connections" connection-state=established add chain=input src-address=10.5.5.0/24 add chain=input src-address=10.5.2.0/24 add chain=input src-address=172.16.0.0/24 add chain=input src-address=192.168.0.0/24 add chain=forward dst-address=10.5.5.0/24 protocol=tcp src-address=10.5.2.0/24 add chain=forward dst-address=10.5.2.0/24 protocol=tcp src-address=10.5.5.0/24 add action=drop chain=input comment="ALL drop f_WAN" in-interface=WAN1_eth1_uplink log=yes log-prefix=all_drop_ add action=drop chain=input comment="DROP internal proxy, is NOT a Open Proxy" dst-port=8080 in-interface=WAN1_eth1_uplink \ protocol=tcp add action=drop chain=input comment="drop everything else" log=yes log-prefix=drop_WAN1

стоп. ты щас заворачиваешь на прокси? если да то пока что будет пускать, так как заворот на прокси идет ДО фильтра

Ну да все на прокси заворачиваю в НАТе

ММм, вот оно что, заворот до прокси... Как много нового от ж спасибо ))

вот, надо без прокси. ибо сначала трафик идет через манглы. потом через нат, потом через фильтр. тоесть если мы в НАТе завернет то в фильтре трафик уже не форвард а инпут ?

И что? ( Проксю рубить?

отключить ПОКА ЧТО заворот

Акэ

http://www.opennet.ru/docs/RUS/iptables/misc/iptables-tutorial/images/tables_traverse.jpg

вот так выглядит прохождения трафика через роутер.

НАТ прероутинг это , если утрировать, ДСТ-НАТ. на месте НАТ построутинг будет СРЦ-НАТ

я к чему - надо четко отслеживать каким чейном доходит трафик до фильтра если мы что то меняли в манглах/НАТе

Редиректнуть днс на микрот кстати правильная идея

Угу... Ух это надо изучить

Тэкс, заворот - вырубил, прокси тоже, только маскарадинг остался

И правило ДЕНИ - all

НО!

https://www.youtube.com/ - пропускает (

В общем пока так же глухо... Все закрывает ок, но HTTPS - пропускает все

да не может быть. значит еще что то разрешающее есть

ему пофиг ютуб это или что. оно должно вообще ВСЮ сетевую активность погасить кроме разрешенных

Александр вон тоже должен были из конференции пропасть ?

пока себя не добавит в разрешенные