Задать вопрос
20ivs
@20ivs
Пользователь пока ничего не рассказал о себе.

Как закрыть доступ в инет с исключениями?

Приветствую всех!
Что я делаю не так?
Нужно одной из подсетей закрыть доступ в инет. Для этого делаю:
ip firefall filter add chain=forward action=drop src-address=xx.yy.yy.0/24 
      dst-address-list=!XXXX out-interface=INET_INTERFACE


в address list добавляю:
ip firewall address-list add address=address.com list=XXXX


В итоге пинги до адресов из address_list ходят, а страницы не открываются. Вроде раньше работал такой метод, если ничего не путаю.

И еще, есть ли возможность указать микроту в адрес лист не xxx.yyy.com, а по маске *.yyy.com? Только Layer7?
  • Вопрос задан
  • 97 просмотров
Подписаться 1 Простой Комментировать
Пригласить эксперта
Ответы на вопрос 2
Lopar
@Lopar
системный администратор
/ip firewall address-list
add address=1.yyy.com list=allowed
add address=2.yyy.com list=allowed
/ip firewall filter
add action=reject chain=forward dst-address-list=!allowed protocol=tcp reject-with=tcp-reset src-address=%your_ip%
add action=drop chain=forward dst-address-list=!allowed protocol=udp src-address=%your_ip%


И поднимаете правила вверх.
Ответ написан
@rionnagel
ковырятель
Я неверно прочитал че вы написали.
Форвард аццепт к вайт листу отдельный. Доступ к днс должен быть. Дроп в конце. Ваш пример не используйте - слишком "ну такое...".
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы