مشکل در دادن دسترسی های مختلف

**hexman** · 2013-09-26, 03:29 PM

دوستان توی میکروتیک وب پروکسی راه انداختم.میخوام به یک کاربر اجازهدسترسی فقط به یک وب سایت و اجازه دریافت و ارسال ایمیل با اوتلوک رو بدم.از توی وب پروکسی میتونم دسترسی به یک وب سایت رو انجام بدم ولی دسترسی به ارسال و دریافت ایمیل رو با نوشتن نت انجام بدم یا فیلتر رول؟

یعنی در واقع من مشکلم اینه که ما 3 تا ایتم داریم یا شایدم بیشتر که میشه برای فیلترینگ ازش استفاده کرد:

1.فیلتر ورل

2.نت

3.وب پروکسی و اکسس ها

در باره استفاده از اینها و کلا یک استراتژی کلی در این مورد کمکم کنید دوستان ممنون از شما

موضوعات مشابه:

**hexman** · 2013-09-27, 11:50 AM

ببینید دوستان ما تو شرکت 2 سری کاربر داریم که قراره بهشون دسترسی اینترنت بدیم.

دسته اول کسانی هستند که اینرتت رو کامل و بدون مخدودیت دارند

دسته دوم کسانی هستند که فقط دسترسی به یک وب سایت و دسترسی به ارسال و دریافت ای میل از طریق اوتلوک دارند.

من روی میکروتیکم یک روت و یک نت نوشتم و اینرنت رو اوردم تو میکروتیک و سرویس وب پروکسی رو ران کردم.

حالا برای اینکه بتونم این دسترسی ها که مد نظرم هست رو پیاده سازی کنم این کار ها رو کردم..

اول اینکه در مسیر ip>firewall>filterrule به رول های دیفالت دست نزدم و چیزی هم اضافه نکردم این هم تصویرش:

یعد اومدم در قسمت نت برای هر کاربری که خواستم بهش اینترنت بدم یک سورس نت با اکشن مسکیوریت نوشتم یعنی نیومدم یک نست کلی بنویسم بلکه برای هر ای چی تک تک این کار رو کردم(البته از قبل براشون در ادرس لیست درست کردم) این هم تصویرش:

بعد هم در وب پروکسی قسمت اکسس ها اول یه رول دینای نوشتم که کلیه سایت ها بسته باشه و اون رو در سطر اخر قرار دادم و بعد برای هر کاربر دسترسی فقط به اون وب سایت رو باز کردم(دسته دوم کاربرا) و دسترسی به همه سایت ها هم برای دسته اول کاربرا باز کردم این هم تصویرش :

اما فکر میکنم کارهایی که کردم چندان درست نیست چون ایراداتی در دسترسی ها وجود داره بعضی ها ایمیلشون کار میکنه وبعضی ها نمکینه و من نمیدونم برای انجام این کار باید چی کار کنم لطفا راهنمایی بفرمایید

**paravand20** · 2013-09-27, 01:02 PM

شما یه لطف کن توپولوژی شبکت رو دسترسی هایی رو که می خوای مرتبا بزار تا قدم به قدم بریم جلو اینجوری نظر د ادن سخته والا

**hexman** · 2013-09-27, 05:31 PM

توپولوژی این شبکه ای که باهاش دارم کار میکنم ساده اس.کلا یک ساب نت داریم همه در یک vlan هستند رنج شبکه داخلی 192.168.1.0 هست .

میکروتیک هم یک اینترفیس لن داره 2 تا ون میکروتیک هم گیت وی شبکه است..چیز خاضی نداریم.

دسترسی ها هم به این صورا هست که از بین 30 تا کاربری که داریم 4 تاشون اینترنت ازاد باید داشته باشند

3 تا شون فقط دسترسی به یک وب سایت خاص+ارسال و دریافت ای میل

بقیه هم بدون دسترسی به اینترنت

**paravand20** · 2013-09-27, 06:29 PM

چون تعداد یوزرات کم هست با ادرس لیست این کار رو انجام بده

می توین از فیلتر کردن بر اساس کانتنت هم کمک بگیری که پراکسیت رو برداری

**hexman** · 2013-09-27, 06:51 PM

من برای اهمه این افرادی که باید به اینترنت دسترسی داشته باشند ای پی هاشون رو تو ادرس لیست ثبت کردم:

حالا از این ها چطوری استفاده کنم؟او نت هایی که برای هر ای پی جداگانه نوشتم به درد میخوره یا حذفشون کنم و بیام تو فیلتر رول رول هام رو بنویسم؟

**hexman** · 2013-09-27, 09:15 PM

در مورد content یه مختصر سرچی کردم..میتونم یه رول بنویسم و در کانتنت مثلا بزارم "www.yahoo.com" ?

به این صورت مثلا
Firewall Filter
Chain : Forward
Protocol : TCP
Port : 80
Content : yahoo
Action : accept

**amir-fk** · 2013-09-28, 12:30 AM

با سلام
به نظر بنده شما میتونید دو تا address list ایجاد کنید یکی برای کسانی که اینترنت رو کامل دارند و یکی برای کسانی که محدود هستند
هر دو تا دسته رو NAT کنی که اینترنت دار بشن (لازم نیست که برای هر IP یک NAT بنویسی توی advanced ، Tab در قسمت Src add list میتونی add list براش مشخص کنی )
بعد توی فایروال برای اون دسته که قراره محدود باشن Rule بنویسی که فقط پورتهای 80 برای web و 25 ( یا 2525 ) برای SMTP و 110 برای POP3 و 143 برای IMAP باز باشن
بعد برای بستن همه سایتها به جز یک سایت خاص یا به قول دوست عزیزمون جناب پراوند از content استفاده کنی یا از web proxy
به نظر من یک PPTP server هم روی میکروتیکت run کن یه pool تعریف کن که کلاینتهایی که کانکشن میزنن از اون ip بگیرن و اون رنج رو هم NAT کن که اگر خواستی یه یکی از کسانی که اینترنت محدود دارن برای یه مدت معینی اینترنت نامحدود بدی لازم نباشه کانفیگت رو دستکاری کنی یه یوزر بهش بدی و هر زمان خواستی یوزر رو Disable کنی

**hexman** · 2013-09-28, 08:11 AM

جناب پراوند و فرهمندخواه ضمن سپاس از شما فقط در مورد نحوه کارکرد کانتنت یه توضیح بفرمایید مثالی که در پست قبلی زدم درسته؟و این هم بفرمایید کانتنت چطور کار میکنه که ما بدون وب پروکسی هم میتونیم url filtering داشته باشیم؟

**hexman** · 2013-09-28, 11:42 AM

نوشته اصلی توسط amir-fk

با سلام
به نظر بنده شما میتونید دو تا address list ایجاد کنید یکی برای کسانی که اینترنت رو کامل دارند و یکی برای کسانی که محدود هستند
هر دو تا دسته رو NAT کنی که اینترنت دار بشن (لازم نیست که برای هر IP یک NAT بنویسی توی advanced ، Tab در قسمت Src add list میتونی add list براش مشخص کنی )
بعد توی فایروال برای اون دسته که قراره محدود باشن Rule بنویسی که فقط پورتهای 80 برای web و 25 ( یا 2525 ) برای SMTP و 110 برای POP3 و 143 برای IMAP باز باشن
بعد برای بستن همه سایتها به جز یک سایت خاص یا به قول دوست عزیزمون جناب پراوند از content استفاده کنی یا از web proxy
به نظر من یک PPTP server هم روی میکروتیکت run کن یه pool تعریف کن که کلاینتهایی که کانکشن میزنن از اون ip بگیرن و اون رنج رو هم NAT کن که اگر خواستی یه یکی از کسانی که اینترنت محدود دارن برای یه مدت معینی اینترنت نامحدود بدی لازم نباشه کانفیگت رو دستکاری کنی یه یوزر بهش بدی و هر زمان خواستی یوزر رو Disable کنی

جناب فرهمند من طبق فرمایش شما اومدم عمل کردم الان از وب پروکسی دارم استفاده میکنم تا بعدا در مورد کانتنت راهنمایی ام بفرمایید تا ازش استفاده کنم ولی یه مشکلی دارم.الان طبق فرمایش شما از ادرس لیست استفاده کردم و اردسهایی رو که میخواستم نت کردم و اینرتنت هم دارن کسانی که براشون نت رو انجام دادم اما وقتی میخوام در فیلتر رول براشون دسترسی تعیین کنم به مشکل بر میخورم و اینترنت قطع میشه

به این صورت که من در فیلتر رول یک رول با چین فوروارد و اکشن دراپ نوشتم و اون رو در اخرین سطر گذاشتم و بعد از اون میام برای کسانی که اینترنت ازاد باید داشته باشن یه رول مینویسم با چین فوروارد و اکشن اکسپت.اما این رول براشون اعمال نمیشه انگار تا زمانی که اون رول دراپ فعال هست.وقتی رول دراپ رو دیزیبل میکنم دوباره دسترسی ها برقرار میشه.

کجای کارم مشکل داره؟

**hexman** · 2013-09-28, 09:05 PM

کسی نیست دوستان؟

**hexman** · 2013-09-29, 11:34 AM

من در فیلتر رول اگر در یک رول فقط chain را forward و اکشن را اکسپت بزارم و سورس ادرس هم براش انتخاب کنم یا از ادرس لیست استفاده کنم و پارامترهای دیگه رو ست نکنم کل ترافیک اون ای پی باز خواهد بود دیگه درسته؟

**amir-fk** · 2013-09-30, 12:08 AM

سلام ببخشید من به دلیل مشغله نمیتونم بطور منظم به سایت سر بزنم
ببین امیر حسین جان
وقتی که IP اون کسانی که قراره اینترنت نامحدود داشته باشن رو NAT کردی و اینترنت دار شدن دیگه لازم نیست براشون Filter Rule بنویسی
وقتی از Firewall استفاده میکنیم که بخواهیم روی ترافیک Action اعمال کنیم ولی وقتی قراره تمام ترافیک چند IP خاص که توی یک Address List هستند کلا باز باشه خوب چرا Rule بنویسیم؟
فقط برای Address List که قرار محدود باشه Rule بنویس و اون پورتهای خاص رو فقط براشون باز بزار

**hexman** · 2013-10-05, 10:43 AM

بعد توی فایروال برای اون دسته که قراره محدود باشن Rule بنویسی که فقط پورتهای 80 برای web و 25 ( یا 2525 ) برای SMTP و 110 برای POP3 و 143 برای IMAP باز باشن

سلام دوستان من از ارهنمايي هاي شما اساتيد استفاده كردم و سناروي رو پياده سازي كردم و همه چي كار ميكنه فقط در اوتلوك جي ميل نيمتونم ست كنم نميدونم براي جي ميل چه پورتهاي ديگه اي رو بايد باز كنم در صورت امكان راهنمايي بفرماييد

موضوع: مشکل در دادن دسترسی های مختلف

پیوند

ابزارهای موضوع

نمایش

مشکل در دادن دسترسی های مختلف

کلمات کلیدی در جستجوها:

عدم دسترسی بین اینترفیسها در میکروتیک

نحوه نوشتن رول در outlook

برچسب برای این موضوع

مجوز های ارسال و ویرایش