Создание Whitelist в RouterOS

@CloudSurferCode · Регистрация: 10.04.2018

Author24 — интернет-сервис помощи студентам

Как создать лист адресов (по адресам сайтов, а не диапазону айпишников) на Mikrotik (RouterOS v6.43.2 (stable)
), на которые можно войти. Другими словами, чтобы не блокировать весь интернет кроме 2-3 сайтов, а наоборот, разрешить вход только на эти сайты.

@romsan · 04.02.2019, 19:54

Сообщение от CloudSurferCode

создать лист адресов (по адресам сайтов, а не диапазону айпишников)

просто добавляешь в address list доменное имя сайта

Кликните здесь для просмотра всего текста

Сообщение от CloudSurferCode

разрешить вход только на эти сайты.

пишешь правило запрета в firewall, только ставишь исключение на твой лист:

Кликните здесь для просмотра всего текста

@CloudSurferCode · 05.02.2019, 12:11 **[ТС]**

Сообщение от romsan

просто добавляешь в address list доменное имя сайта

Кликните здесь для просмотра всего текста

Вложение 1008773

пишешь правило запрета в firewall, только ставишь исключение на твой лист:

Кликните здесь для просмотра всего текста

Вложение 1008774

Спасибо за первый совет,
мне еще помогла следующая статья ( https://habr.com/ru/post/271707/#Part3)
Но теперь передо мной стоит задача, чтобы эти правила работали только для определенных машин, как это правильно реализовать ?

Предположим , к роутеру подключено 10 компьютеров, у 5 из них должен быть полный доступ к интернету, а у остальных 5 доступ только к 3 определенным сайтам

Добавлено через 4 минуты

Сообщение от romsan

просто добавляешь в address list доменное имя сайта

Кликните здесь для просмотра всего текста

Вложение 1008773

пишешь правило запрета в firewall, только ставишь исключение на твой лист:

Кликните здесь для просмотра всего текста

Вложение 1008774

Запрет всех сайтов кроме нескольких, микротик
Я тут нашел ветку с вашим ответом, расскажите, как это сделать для определенных пк

@romsan · 05.02.2019, 13:45

CloudSurferCode, показывай конфиг и распиши хотелку подробно с адресами

@CloudSurferCode · 05.02.2019, 13:57 **[ТС]**

Сообщение от romsan

CloudSurferCode, показывай конфиг и распиши хотелку подробно с адресами

Я на самом деле не особо шарю, может удобнее будет по почте списаться или любым другим образом. Короче у меня сеть, Linksys и 2 микротика, на микротиках по 10 человек сидит, по 2 человека административного персонала и 8 менеджеры. У администраторов мулл доступ, у менеджеров доступы к CRM (облачная, через браузер) , и еще пару сайтов (всё через браузер).

@romsan · 05.02.2019, 14:04

Сообщение от CloudSurferCode

может удобнее будет по почте списаться или любым другим образом

лучше тут - наглядное пособие для будущих поколений.

Сообщение от CloudSurferCode

у меня сеть, Linksys и 2 микротика

Сеть одноранговая? кто раздает адреса? или ручками забито? Кто шлюз?

Сообщение от CloudSurferCode

на микротиках по 10 человек сидит

как настроены микротики?

@CloudSurferCode · 05.02.2019, 14:18 **[ТС]**

Сообщение от romsan

лучше тут - наглядное пособие для будущих поколений.

Сеть одноранговая? кто раздает адреса? или ручками забито? Кто шлюз?

как настроены микротики?

мне стыдно, но я не знаю, как узнать кто шлюз ?

@romsan · 05.02.2019, 14:23

Сообщение от CloudSurferCode

я не знаю, как узнать кто шлюз ?

на любом ПК в командной строке

Bash

1	ipconfig /all

там все расписано.
Куда воткнут кабель от провайдера?
Как реализована адрессность в сети? настроен DHCP-сервер? или статически прописаны на каждом ПК?

Добавлено через 9 секунд

Сообщение от CloudSurferCode

я не знаю, как узнать кто шлюз ?

на любом ПК в командной строке

Bash

1	ipconfig /all

там все расписано.
Куда воткнут кабель от провайдера?
Как реализована адрессность в сети? настроен DHCP-сервер? или статически прописаны на каждом ПК?

@CloudSurferCode · 05.02.2019, 14:35 **[ТС]**

Сообщение от romsan

на любом ПК в командной строке

Bash

1	ipconfig /all

там все расписано.
Куда воткнут кабель от провайдера?
Как реализована адрессность в сети? настроен DHCP-сервер? или статически прописаны на каждом ПК?

Добавлено через 9 секунд

на любом ПК в командной строке

Bash

1	ipconfig /all

там все расписано.
Куда воткнут кабель от провайдера?
Как реализована адрессность в сети? настроен DHCP-сервер? или статически прописаны на каждом ПК?

Кабель от провайдера воткнут в Lynksis, DHCP настроен
Lynksis является основным шлюзом (через 192.168.1.1 открывается его админка)

@romsan · 05.02.2019, 14:38

Сообщение от CloudSurferCode

Кабель от провайдера воткнут в Lynksis, DHCP настроен
Lynksis является основным шлюзом (через 192.168.1.1 открывается его админка)

так. Теперь далее:
1) Пк получают адреса?
2) Как настроены микротики?

@CloudSurferCode · 05.02.2019, 16:29 **[ТС]**

Сообщение от romsan

так. Теперь далее:
1) Пк получают адреса?
2) Как настроены микротики?

В Quick set Address Acquisition : Automatic
в webfig/bridge/hosts Все мак адреса сохраняются, и при повторном подключении новый мак адрес не выдается, а только обновляется время последнего подключения

Можно по поводу второго пункта подробнее или может я могу где-то конфигурированиям выцепить , чтобы вам его скинуть, если могу, то каким образом ?

@romsan · 05.02.2019, 17:12

CloudSurferCode, я пока никак не пойму, как настроена сеть?
Куда приходит кабель от провайдера? Основной маршрутизатор, и он же шлюз, - это LinkSys ?

Сообщение от CloudSurferCode

при повторном подключении новый мак адрес не выдается

МАС-адреса не раздаются, они жестко прописаны на сетевых адаптерах. Раздаются ip-адреса. Ты это имел ввиду?

Сообщение от CloudSurferCode

по поводу второго пункта подробнее

зайти на микротик, в терминале задать команду:

Bash

1	export file=cyber.rsc

потом зайти в Files и стянуть появившийся там файл cyber.rsc к себе на ПК. Открыть его простым блокнотом, удалить там, то, что посчитаешь секретным, и выложить файл сюда.

@CloudSurferCode · 05.02.2019, 17:44 **[ТС]**

Сообщение от romsan

CloudSurferCode, я пока никак не пойму, как настроена сеть?
Куда приходит кабель от провайдера? Основной маршрутизатор, и он же шлюз, - это LinkSys ?

МАС-адреса не раздаются, они жестко прописаны на сетевых адаптерах. Раздаются ip-адреса. Ты это имел ввиду?

зайти на микротик, в терминале задать команду:

Bash

1	export file=cyber.rsc

потом зайти в Files и стянуть появившийся там файл cyber.rsc к себе на ПК. Открыть его простым блокнотом, удалить там, то, что посчитаешь секретным, и выложить файл сюда.

Спасибо что со мной возитесь.
Основной маршрутизатор и он же шлюз - Linksys, да это так.

Да ip адреса остаются те же , по крайней мере при повторном подключении , если можно это как-то по другому проверить, я это сделаю.

Bash

# may/10/1970 10:20:24 by RouterOS 6.43.2 
# software id = 
# 
# model = RouterBOARD 952Ui-5ac2nD 
# serial number = 
/interface bridge 
add admin-mac= auto-mac=no name=bridge1 protocol-mode=none 
/interface ethernet 
set [ find default-name=ether1 ] advertise=\ 
10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full 
set [ find default-name=ether2 ] advertise=\ 
10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full 
set [ find default-name=ether3 ] advertise=\ 
10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full 
set [ find default-name=ether4 ] advertise=\ 
10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full 
set [ find default-name=ether5 ] advertise=\ 
10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full 
/interface wireless 
set [ find default-name=wlan1 ] adaptive-noise-immunity=ap-and-client-mode \ 
band=2ghz-g/n default-authentication=no default-forwarding=no disabled=no \ 
distance=indoors frequency=auto mode=ap-bridge ssid=fnk \ 
tx-power-mode=all-rates-fixed wireless-protocol=802.11 wmm-support=\ 
enabled wps-mode=disabled 
set [ find default-name=wlan2 ] adaptive-noise-immunity=ap-and-client-mode \ 
band=5ghz-a/n/ac channel-width=20/40/80mhz-Ceee default-authentication=no \ 
default-forwarding=no disabled=no distance=indoors mode=ap-bridge ssid=\ 
fnk_5G tx-power=20 tx-power-mode=all-rates-fixed wireless-protocol=\ 
802.11 wmm-support=enabled wps-mode=disabled 
/interface list 
add name=WAN 
add name=LAN 
/interface wireless security-profiles 
set [ find default=yes ] authentication-types=wpa2-psk eap-methods="" \ 
group-key-update=1h mode=dynamic-keys supplicant-identity=MikroTik \ 
wpa-pre-shared-key= wpa2-pre-shared-key= 
/ip hotspot profile 
set [ find default=yes ] html-directory=flash/hotspot 
/interface bridge port 
add bridge=bridge1 interface=wlan1 
add bridge=bridge1 interface=wlan2 
add bridge=bridge1 hw=no interface=ether1 
add bridge=bridge1 hw=no interface=ether2 
add bridge=bridge1 hw=no interface=ether3 
add bridge=bridge1 hw=no interface=ether4 
add bridge=bridge1 hw=no interface=ether5 
/interface list member 
add interface=ether1 list=WAN 
add interface=ether2 list=LAN 
add interface=ether3 list=LAN 
add interface=ether4 list=LAN 
add interface=ether5 list=LAN 
add interface=wlan2 list=LAN 
add interface=wlan1 list=LAN 
/interface wireless access-list 
add interface=wlan1 signal-range=-84..120 vlan-mode=no-tag 
add interface=wlan2 signal-range=-85..120 vlan-mode=no-tag 
/ip dhcp-client 
add dhcp-options=hostname,clientid disabled=no interface=bridge1
/ip service 
set telnet disabled=yes 
set ftp disabled=yes 
set ssh disabled=yes 
set api disabled=yes 
set api-ssl disabled=yes 
/system clock 
set time-zone-autodetect=no time-zone-name=Europe/Moscow 
/system identity 
set name=ap2 
/system ntp client 
set enabled=yes 
/system routerboard settings 
set silent-boot=no

@romsan · 05.02.2019, 20:12

CloudSurferCode, ясно. Вобщем, у тебя все правила, как я понял, на LinkSys настроены ,т.к. микротики работают как тупые свитчи с вайфаем (судя по конфигу).
По конфигу:
1) Создал интерфейс листы WAN и LAN. Ок!
2) Прописал, что ether1 - это WAN, а ether2-5 и Wlan1-2 - это LAN. Ок!
3) Создал бридж bridge1 и в него воткнул все интерфейсы, в том числе и ether1 (!) Зачем тогда ether1 помечал WAN? (это не ошибка в данном случае, но неправильно)
4) На бридж повешен dhcp-клиент (!) ... зачем? Не проще просто задать адрес микротику? Ну, впринцепе, если на LinkSys все зафиксировано, то можно и так. Просто я бы так не делал.

Так что, свою хотелку тебе придется реализовывать на LinkSys. Я эти железки не знаю.

@CloudSurferCode · 06.02.2019, 10:13 **[ТС]**

Сообщение от romsan

CloudSurferCode, ясно. Вобщем, у тебя все правила, как я понял, на LinkSys настроены ,т.к. микротики работают как тупые свитчи с вайфаем (судя по конфигу).
По конфигу:
1) Создал интерфейс листы WAN и LAN. Ок!
2) Прописал, что ether1 - это WAN, а ether2-5 и Wlan1-2 - это LAN. Ок!
3) Создал бридж bridge1 и в него воткнул все интерфейсы, в том числе и ether1 (!) Зачем тогда ether1 помечал WAN? (это не ошибка в данном случае, но неправильно)
4) На бридж повешен dhcp-клиент (!) ... зачем? Не проще просто задать адрес микротику? Ну, впринцепе, если на LinkSys все зафиксировано, то можно и так. Просто я бы так не делал.

Так что, свою хотелку тебе придется реализовывать на LinkSys. Я эти железки не знаю.

А нельзя таким образом на каком из микронов запилить?

Bash

/ip firewall layer7-protocol add name=Allow regexp="^.+(какой-то_сайт|еще_какой-то_сайт).*$" 
/ip firewall layer7-protocol add name=Deny regexp="^.+(HTTP\/[0-2]).+$" 
 
/ip firewall filter add chain=forward protocol=tcp out-interface=ваш_интерфейс layer7-protocol=Allow action=accept
/ip firewall filter add chain=forward protocol=tcp in-interface=ваш_интерфейс layer7-protocol=Allow action=accept
/ip firewall filter add chain=forward protocol=tcp out-interface=ваш_интерфейс layer7-protocol=Deny action=reject reject-with=tcp-reset
/ip firewall filter add chain=forward protocol=tcp in-interface=ваш_интерфейс layer7-protocol=Deny action=reject reject-with=tcp-reset

Единственное, если таким образом делать , это будет работать на все компы подключенные к микроту, если можно только для определенных правило сделать, было бы круто. Или я ошибаюсь и работать не будет?

В любом случае огромное спасибо за помощь, может посоветуете что-то почитать?

@romsan · 06.02.2019, 11:00

Сообщение от CloudSurferCode

А нельзя таким образом на каком из микронов запилить?

нет, нельзя. Микротики твои - обычные свитчи. На них маршрутизация отключена. Всем управляет главная железка - LinkSys. Вот на ней и нужно эту хотелку реализовывать.
Или, микротики переводить в роутеры, поднимать НАТ, настраивать фаервол, и прописывать правила. Только в данном случае все, кто перед микротиками будут за НАТ, соответственно не доступны в сетевом окружении.

@CloudSurferCode 0 / 0 / 0 Регистрация: 10.04.2018 Сообщений: 19
		1
	Создание Whitelist в RouterOS 04.02.2019, 16:58. Показов 6342. Ответов 15 Метки mikrotik, routeros l1 (Все метки) Как создать лист адресов (по адресам сайтов, а не диапазону айпишников) на Mikrotik (RouterOS v6.43.2 (stable) ), на которые можно войти. Другими словами, чтобы не блокировать весь интернет кроме 2-3 сайтов, а наоборот, разрешить вход только на эти сайты. 0

@romsan 5092 / 2154 / 461 Регистрация: 17.10.2015 Сообщений: 9,202
	04.02.2019, 19:54	2
	Сообщение от CloudSurferCode создать лист адресов (по адресам сайтов, а не диапазону айпишников) просто добавляешь в address list доменное имя сайта Кликните здесь для просмотра всего текста Сообщение от CloudSurferCode разрешить вход только на эти сайты. пишешь правило запрета в firewall, только ставишь исключение на твой лист: Кликните здесь для просмотра всего текста 1

@CloudSurferCode 0 / 0 / 0 Регистрация: 10.04.2018 Сообщений: 19
	05.02.2019, 12:11 [ТС]	3
	Сообщение от romsan просто добавляешь в address list доменное имя сайта Кликните здесь для просмотра всего текста Вложение 1008773 пишешь правило запрета в firewall, только ставишь исключение на твой лист: Кликните здесь для просмотра всего текста Вложение 1008774 Спасибо за первый совет, мне еще помогла следующая статья ( https://habr.com/ru/post/271707/#Part3) Но теперь передо мной стоит задача, чтобы эти правила работали только для определенных машин, как это правильно реализовать ? Предположим , к роутеру подключено 10 компьютеров, у 5 из них должен быть полный доступ к интернету, а у остальных 5 доступ только к 3 определенным сайтам Добавлено через 4 минуты Сообщение от romsan просто добавляешь в address list доменное имя сайта Кликните здесь для просмотра всего текста Вложение 1008773 пишешь правило запрета в firewall, только ставишь исключение на твой лист: Кликните здесь для просмотра всего текста Вложение 1008774 Запрет всех сайтов кроме нескольких, микротик Я тут нашел ветку с вашим ответом, расскажите, как это сделать для определенных пк 0

@romsan 5092 / 2154 / 461 Регистрация: 17.10.2015 Сообщений: 9,202
	05.02.2019, 13:45	4
	CloudSurferCode, показывай конфиг и распиши хотелку подробно с адресами 1

@CloudSurferCode 0 / 0 / 0 Регистрация: 10.04.2018 Сообщений: 19
	05.02.2019, 13:57 [ТС]	5
	Сообщение от romsan CloudSurferCode, показывай конфиг и распиши хотелку подробно с адресами Я на самом деле не особо шарю, может удобнее будет по почте списаться или любым другим образом. Короче у меня сеть, Linksys и 2 микротика, на микротиках по 10 человек сидит, по 2 человека административного персонала и 8 менеджеры. У администраторов мулл доступ, у менеджеров доступы к CRM (облачная, через браузер) , и еще пару сайтов (всё через браузер). 0

@romsan 5092 / 2154 / 461 Регистрация: 17.10.2015 Сообщений: 9,202
	05.02.2019, 14:04	6
	Сообщение от CloudSurferCode может удобнее будет по почте списаться или любым другим образом лучше тут - наглядное пособие для будущих поколений. Сообщение от CloudSurferCode у меня сеть, Linksys и 2 микротика Сеть одноранговая? кто раздает адреса? или ручками забито? Кто шлюз? Сообщение от CloudSurferCode на микротиках по 10 человек сидит как настроены микротики? 1

@CloudSurferCode 0 / 0 / 0 Регистрация: 10.04.2018 Сообщений: 19
	05.02.2019, 14:18 [ТС]	7
	Сообщение от romsan лучше тут - наглядное пособие для будущих поколений. Сеть одноранговая? кто раздает адреса? или ручками забито? Кто шлюз? как настроены микротики? мне стыдно, но я не знаю, как узнать кто шлюз ? 0

@romsan 5092 / 2154 / 461 Регистрация: 17.10.2015 Сообщений: 9,202
	05.02.2019, 14:38	10
	Сообщение от CloudSurferCode Кабель от провайдера воткнут в Lynksis, DHCP настроен Lynksis является основным шлюзом (через 192.168.1.1 открывается его админка) так. Теперь далее: 1) Пк получают адреса? 2) Как настроены микротики? 1

@CloudSurferCode 0 / 0 / 0 Регистрация: 10.04.2018 Сообщений: 19
	05.02.2019, 16:29 [ТС]	11
	Сообщение от romsan так. Теперь далее: 1) Пк получают адреса? 2) Как настроены микротики? В Quick set Address Acquisition : Automatic в webfig/bridge/hosts Все мак адреса сохраняются, и при повторном подключении новый мак адрес не выдается, а только обновляется время последнего подключения Можно по поводу второго пункта подробнее или может я могу где-то конфигурированиям выцепить , чтобы вам его скинуть, если могу, то каким образом ? 0

@romsan 5092 / 2154 / 461 Регистрация: 17.10.2015 Сообщений: 9,202
	05.02.2019, 20:12	14
	CloudSurferCode, ясно. Вобщем, у тебя все правила, как я понял, на LinkSys настроены ,т.к. микротики работают как тупые свитчи с вайфаем (судя по конфигу). По конфигу: 1) Создал интерфейс листы WAN и LAN. Ок! 2) Прописал, что ether1 - это WAN, а ether2-5 и Wlan1-2 - это LAN. Ок! 3) Создал бридж bridge1 и в него воткнул все интерфейсы, в том числе и ether1 (!) Зачем тогда ether1 помечал WAN? (это не ошибка в данном случае, но неправильно) 4) На бридж повешен dhcp-клиент (!) ... зачем? Не проще просто задать адрес микротику? Ну, впринцепе, если на LinkSys все зафиксировано, то можно и так. Просто я бы так не делал. Так что, свою хотелку тебе придется реализовывать на LinkSys. Я эти железки не знаю. 1

@romsan 5092 / 2154 / 461 Регистрация: 17.10.2015 Сообщений: 9,202
	06.02.2019, 11:00	16
	Сообщение от CloudSurferCode А нельзя таким образом на каком из микронов запилить? нет, нельзя. Микротики твои - обычные свитчи. На них маршрутизация отключена. Всем управляет главная железка - LinkSys. Вот на ней и нужно эту хотелку реализовывать. Или, микротики переводить в роутеры, поднимать НАТ, настраивать фаервол, и прописывать правила. Только в данном случае все, кто перед микротиками будут за НАТ, соответственно не доступны в сетевом окружении. 0