مستثنی کردن یک IP یا شبکه

**seighalan** · 2011-08-07, 11:18 AM

سلام دوستان

من پورت های vpn رو درشبکه داخلی خودم بستم. الان مشکلی که دارم موقع مستثنی کردن یک شبکه یا آی پی. وقتی یک شبکه مثلا 192.168.2.0/24 رو در src address وارد میکنم که vpn روی این محدوده آی پی اعمال نشه همه چیز خوبه. اما وقتی میخوام چندتا شبکه یا آی پی رو جدا کنم و در access list وارد میکنم نمیشه. لطفا راهنمایی کنید.

موضوعات مشابه:

**adel28** · 2011-08-07, 11:11 PM

به سیستم خاص IP اختصاص بدهید و یه رول بنویسید و پورت مربوطه را در اون قرار بدهید.
بعد اون رول رو بالاتر از رولی که برای بلاک کردن پورت VPN قرار دادید بزارید.

**seighalan** · 2011-08-08, 08:42 AM

سلام

الان مشکل اینه که من چند رول برای vpn ندارم. من یک رول دارم و میام در قسمت advanced میگم که فلان access list که شامل آی پی ها و شبکه های موردنظرم هستند قرار بگیرند تا به این لیست بلوک شدن vpn اعمال نشه. اما باز کلا بلوک نگه میداره. فقط در یک حالت درست کار میکنه اونم وقتی هست که فقط یک شبکه خاص رو در src address قرار میدم.

**mostafaa** · 2011-08-08, 03:59 PM

سلام دوست من
توضیحاتت مبهمه
لیست کانفیگت رو لطفا اینجا بزار تا بتونیم کمکت کنیم.

**seighalan** · 2011-08-08, 06:59 PM

سلام

تنظیمات فایروال من به این صورته
ip>firewall>filter rule

chain forward
protocol tcp
port 1723

advanced>src address test-accesslist

حالا در این اکسس لیست من اومد گفتم شبکه های
192.168.3.0/24
192.168.9.0/24

و آی پی های
192.168.6.24
192.168.4.250
مجاز به استفاده از وی پی ان باشند.
الان مشکل اینه که وقتی اکسس لیست مشخص می کنم باز کل یوزرهای از دسترسی به وی پی ان قطع میشن.

**mostafaa** · 2011-08-09, 10:07 AM

عزیزم وقتی مگم کانفیگت رو بزار منظورم اینه!!

کد:

[admin@MikroTik] > ip firewall mangle print
Flags: X - disabled, I - invalid, D - dynamic
 0   ;;; icmp packets
     chain=prerouting action=mark-packet new-packet-mark=icmp_packets
     passthrough=no protocol=icmp dst-address-list=!LocalAddress

 1   ;;; ssl connections
     chain=prerouting action=mark-connection new-connection-mark=ssl_conn
     passthrough=yes protocol=tcp dst-address-list=!LocalAddress dst-port=443

 2   ;;; ssl packets
     chain=prerouting action=mark-packet new-packet-mark=ssl_packets
     passthrough=no dst-address-list=!LocalAddress connection-mark=ssl_conn

 3   ;;; http connections
     chain=prerouting action=mark-connection new-connection-mark=http_conn
     passthrough=yes protocol=tcp dst-address-list=!LocalAddress dst-port=80

 4   ;;; http packets
     chain=prerouting action=mark-packet new-packet-mark=http_packets
     passthrough=no dst-address-list=!LocalAddress connection-mark=http_conn

 5   ;;; other packets
     chain=prerouting action=mark-packet new-packet-mark=other_packets
     passthrough=no protocol=tcp dst-address-list=!LocalAddress
     dst-port=!8291

**seighalan** · 2011-08-09, 11:48 AM

سلام رول فایروال من به این شکله
ip firewall filter rule
X ;;; block pptp
chain=forward action=drop protocol=tcp src-address-list=!vpn-exception
dst-port=1723

[ali@MikroTik] > ip firewall mangle print
Flags: X - disabled, I - invalid, D - dynamic
0 chain=prerouting action=accept src-address-list=KT-lan dst-address-list=KT-lan
1 chain=forward action=accept src-address-list=KT-lan dst-address-list=KT-lan

KT-lan منظور 192.168.0.0/16
ضمناً vpn-exception همون access list من هست که داخلش اومدم گفتم شبکه ها و ip زیر مجاز به استفاده باشند.

192.168.5.0/24
192.168.4.0/24
192.168.3.230

یک نکته دیگه و اینکه من این رول رو در filter دارم نه در mangle.

**mostafaa** · 2011-08-09, 02:52 PM

دوباره سلام دوست من
اینکه من پرینت منگل رو گزاشتم به عنوان نمونه و جهت این بود که به چه شکل کافنیگ رو پرینت بگیرید و در بلوک کد قرار بدید!!
به هر حال من توی کد قسمت فایروالتون مشکل خاصی نمیبینم ولی اگه کانفیگ کامل رو میزاشتین بهتر بود! در هر صورت من تو شبکه داخلی خودم سناریوی شما رو به راحتی پیاده کردم و مشکلی هم نبود... کانفیگش رو اینجا قرار میدم... شما با مال خودت چک کن ببین مشکل از کجاست.

کد:

[admin@MikroTik] > ip firewall filter pri
Flags: X - disabled, I - invalid, D - dynamic 
 0   chain=forward action=drop protocol=tcp src-address-list=!vpnexeption dst-port=1723 
[admin@MikroTik] > ip firewall address-list pri
Flags: X - disabled, D - dynamic 
 #   LIST                                                     ADDRESS                        
 0   vpnexeption                                              192.168.0.0/24                 
 1   vpnexeption                                              192.168.110.0/24               
[admin@MikroTik] >

موضوع: مستثنی کردن یک IP یا شبکه

پیوند

ابزارهای موضوع

نمایش

مستثنی کردن یک IP یا شبکه

کلمات کلیدی در جستجوها:

بلوک کردن یک پورت در فایروال

غیرفعال کردن یک ip در شبکه

markpacket كردن ليست ادرس در ميكروتيك

vpn شدن بلاک port

vpn شدن بلاک

پورت 1723 میکروتیک

غیر فعال کردن یک ای پی در نود

port forward mangle

عدم باز شدن سایت با آدرس در شبکه lan

mikrotik ssl_conn

جدا کردن آی پی در میکروتیکaddress-list

بلوک کردن ip در میکروتیک

deny کردن یک ip در اکسس لیست

جدا کردن آی پی در آدرس لیست در میکروتیک

بلاک یک ip

نحوه منگل کردن packet

access list درمیکروتیک

قراردادن پورت tcp در فایروال

mikrotik mangel access list

استثناء کردن از پورت میکروتیک

تنظیم فایر وال نود برای IP خاص

بلاك شدن شبكه داخلي با نود

قرار دادن یک آی پی در لیست فایر وال نود 7

استثنا کردن یک شبکه در فایروال نود

mark کردن mikrotik

برچسب برای این موضوع

مجوز های ارسال و ویرایش