Задать вопрос
@belyaevcyrill

Как правильно добавить сайт в исключение на Микротике?

Для офиса на Микротике я блокирую все соединения по 80 и 443 портам, и пропускаю весь трафик через прокси-сервер. Т.е., любой сайт доступен только через прокси.

Но потребовалось сделать исключение. Один сайт нужно сделать доступным напрямую. Не через прокси.

Правила блокировки 80 и 443 порта стандартные:
add action=reject chain=forward dst-address=0.0.0.0/0 dst-port=80 \
    in-interface=ether1 protocol=tcp reject-with=\
    icmp-network-unreachable src-address-list=no_http

add action=reject chain=forward dst-address=0.0.0.0/0 dst-port=443 \
    in-interface=ether1 protocol=tcp reject-with=\
    icmp-protocol-unreachable src-address-list=no_http


Всем, кто в листе no_http, режется трафик по 80 и 443 порту.

Как добавить исключение в такое правило? Например, чтобы по 443 порту был доступен только один единственный сайт. Например, vk.com. А весь остальной трафик по 443 и 80 портам резался.
  • Вопрос задан
  • 1867 просмотров
Подписаться 3 Оценить Комментировать
Пригласить эксперта
Ответы на вопрос 2
@iilin
Микротик не умеет испорльзовать в файрволе DNS имена.

Создайте список IP address list с исключениями

/ip firewall address-list add list=http address=[:resolve vk.com]


И откоректируйте правило

dst-address-list=!http
Ответ написан
Комментировать
Maxlinus
@Maxlinus
начиная с версии v6.36, в адресные листы можно добавлять доменные имена!

*) firewall — allow to add domain name to address-lists (dynamic entries for resolved addresses will be added to specified list);
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы