Как разрешить только Windows Update через MikroTik для windows 10?

Есть компьютер, который не входит в домен, и считается гостевым, стоит отдельно, сломался, просто принесли другой.
В помещении есть только Mikrotik 951G-2HnD, который отвечает за интернет.
Задача заблокировать любой трафик, кроме Windows Update и https://my.site.ru/

Регулярка на L7 не умеет работать по схеме, всё кроме выражения.

^.+(http://windowsupdate.microsoft.com|http://*.windowsupdate.microsoft.com|https://*.windowsupdate.microsoft.com|http://*.update.microsoft.com|https://*.update.microsoft.com|http://*.windowsupdate.com|http://download.windowsupdate.com|http://download.microsoft.com|http://*.download.windowsupdate.com|https://*my.site.ru).*$


Как решить данный вопрос? Без прокси. А если прокси, то так что бы не прописывать его на Windows.
Заблокировать весь Forward и разрешить только по регулярному.
  • Вопрос задан
  • 747 просмотров
Решения вопроса 1
vasilevkirill
@vasilevkirill
Сертифицированный тренер MikroTik TR0417
Да есть такие траблы с динамическими именами, я бы поступил так в вашем случае.
Поднял на микротике прокси сервер(он идёт из коробки),
Фаерволом запретил весь трафик от данной машины в интернет (forward)
фаерволом запретил, доступ к проксе всем кроме, данного хоста (input)
На хосте явно прописал бы использовать прокси сервер.

прокси бы настроил по подобию
/ip proxy access
add dst-host=*.windowsupdate.com
add dst-host=*.update.microsoft.com
add dst-host=*.update.microsoft.com
add action=deny


То что вам надо, это задача не маршрутизатора, прокси сервера.
Ответ написан
Пригласить эксперта
Ответы на вопрос 4
Ziptar
@Ziptar
Дилетант широкого профиля
Регулярка на L7 не умеет работать по схеме, всё кроме выражения.

- Помечаете через mangle соединения, соответствующие попыткам подключения этого компьютера к серверам windows update и нужному сайту на прероутинге либо на форварде, со снятой галкой passtrought
- В фаерволе на форварде разрешаете промаркированные таким образом соединения, и запрещаете все прочие для этого компьютера (не забыв разрешить dns и ntp, конечно)
Ответ написан
poisons
@poisons
Регулярка на L7 не умеет работать по схеме, всё кроме выражения.

Щито?
1 правило
ip firewall filter add chain=forward action=drop layer7-protocol=!regexp
т.е. дропнуть все, что не попадает под l7
Ответ написан
Diman89
@Diman89
Файрволлом на самом пк не вариант?
Ответ написан
@rionnagel
ковырятель
В Ip-firewall-address list с некоторых пор умеет понимать днс имена и динамически добавлять-убирать ip адреса, если меняются. На l7 вы нифига не сделаете white list, раз уж трафик https и заголовок зашифрован. В правиле, которым вы разрешаете ходить в интернеты во вкладке advanced есть dst. address list например. Если жрать проц будет сильно - добавляете маркировку пакетов, как написали выше.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы