Как закрыть доступ в инет с исключениями?

Question

[20ivs]

Приветствую всех!
Что я делаю не так?
Нужно одной из подсетей закрыть доступ в инет. Для этого делаю:

ip firefall filter add chain=forward action=drop src-address=xx.yy.yy.0/24 
      dst-address-list=!XXXX out-interface=INET_INTERFACE

в address list добавляю:

ip firewall address-list add address=address.com list=XXXX

В итоге пинги до адресов из address_list ходят, а страницы не открываются. Вроде раньше работал такой метод, если ничего не путаю.

И еще, есть ли возможность указать микроту в адрес лист не xxx.yyy.com, а по маске *.yyy.com? Только Layer7?

Answer 1

[Ивор Барханский]

/ip firewall address-list
add address=1.yyy.com list=allowed
add address=2.yyy.com list=allowed
/ip firewall filter
add action=reject chain=forward dst-address-list=!allowed protocol=tcp reject-with=tcp-reset src-address=%your_ip%
add action=drop chain=forward dst-address-list=!allowed protocol=udp src-address=%your_ip%

И поднимаете правила вверх.

Comments

[20ivs]

к сожалению, ваш вариант ничем не отличается от моего, если не считать reject вместо drop.

[Ивор Барханский]

20ivs, вы запрещающие правила точно поставили выше других? Если они у вас не работают, значит выше них есть пересекающиеся разрешения.

[20ivs]

Игорь, разумеется.

[Ивор Барханский]

20ivs, а можно весь набор правил посмотреть? если есть запрещающее правило в самом верху, которое ничего не запрещает - это глубоко-ненормальное поведение.

[20ivs]

Игорь, вот единственное правило перед разрешающими, т.е. в самом верху.

ip firefall filter add chain=forward action=drop src-address=xx.yy.yy.0/24 
      dst-address-list=!XXXX out-interface=INET_INTERFACE

запрещает всё для определенной подсети кроме адрес листа.

[Ивор Барханский]

Ну можете ещё на уровне ната запретить натить трафик из конкретной сети в адреслист.
Но в остальном непонятно. У вас вот этот вот правило стоит выше всех, но всё равно вся подсеть отказывается ходить в адреслист?

[20ivs]

Игорь, почему, оно работает, но криво как-то. пинги ходят на хосты из адрес листа, а страницы не открываются. все остальное, что не разрешено, не пашет, как и положено. вы вопрос прочтите внимательней =)
кстати, еще есть возможность указать content в правиле.
ip firefall filter add chain=forward action=drop src-address=xx.yy.yy.0/24 content=!xxx.com out-interface=INET_INTERFACE
но так оно вообще не отрабатывает. хотя, если через content запрещать, а не разрешать, то всё норм.

[Ивор Барханский]

Так всё из за пингов? Ну зарежьте ipmi, например... Или вот реально на уровне NAT запретите.

Answer 2

[rionnagel]

Я неверно прочитал че вы написали.
Форвард аццепт к вайт листу отдельный. Доступ к днс должен быть. Дроп в конце. Ваш пример не используйте - слишком "ну такое...".