Доброго дня коллеги! Кратко о схеме: Есть Mikrotik RuBOARD 703. Есть домен и один терминальный сервер на который через RDP заходят пользователи что бы работать , с 1с и еще немного поработать в интернете. Проблема:удаленные пользователи начали слишком много серфить в инете через терминалку. Решение: резать трафик, либо ограничить доступ к сайтам, оставить майл, яндекс и некоторый служебный трафик для 1с. Выбрали второе решение, так как первое-ограничение лимита трафика, делает невыносимым удаленную работу через RDP на терминале. Главная проблема это один IP адрес, так как одна терминалка и надо ка кто с помощью адрес-листов разрешить только на те на которые положено. Но как не бились ничего не получается. 1.Для того же самого айпи отключали нат и включали маскарадинг для белых адресов- яндекс открывался и майл, другое очень хило , либо вообще не открывалось- даже если оно в разрешенных листах. Либо, как сейчас на скрине, но открывается почему то все- хотя адресные листы явно указаны ? Скрин прилагаю. Вопрос: Как можно эту конфигурацию настроить, либо где до крутить ? Спасибо.
Вам нужно это в правилах фаервола настраивать, NAT тут лучше не трогать. src-address - адрес сервера add action=accept chain=forward dst-address-list=allow dst-port=80,443 protocol=tcp src-address=192.168.88.8 add action=drop chain=forward dst-port=80,443 protocol=tcp src-address=192.168.88.8
Да не, все то же самое. Если и попадает в белый лист адресов- то все равно тупизм и торможение сайтов
Белый сайт имеет много ссылок на те сайты которые не в списке (банеры там всякие, иконки соцсетей и т.п.) Настройте им PCQ в очереди.
Илья, а что такое PCQ ? Просто я смотрю микротик наглухо отказывается работать с портом 443. Какие бы правила и адреса листов не выставлял, все равно тормоза. С 80 же портом конечно все хорошо. Даже есть прозрачный web proxy- но как дело доходит до порта 443- все, весь смысл пропадает. Все сайты почти сейчас по https.
Задача одна- есть терминал, на нем работают пользователи- нужно запретить интернет весь- но определенные сайты из белого спика разрешить. Но так как подавляющее большинство сайтов через HTTPS это корректно не работает.Тормозит все , даже то что в белых листах. Если есть пример, может фильтрование на 7 уровне, подскажите пожалуйста ? Спасибо!
пример фильтра - ^.+(vk|youtube.com|vkontakte|odnoklassniki|facebook|fall-in-love|loveplanet|my.mail.ru).*$
Вот про фильтр https - человек очень грамотно описал https://spw.ru/forum/threads/filtracija-https-trafika-v-seti.1197/#post-7605 я бы посоветовал эту темку оформить и закрепить. Это реально сильная сторона микротиков, такого я нигде не встречал, чтобы так просто настраивался контроль для https скриптами с автосбором блокируемых ипешников.
