Как в Mikrotik заблокировать внешний IP адрес

Микротик, как представитель L3 оборудования, прекрасно справляется с функциями блокировки IP адресов. И сейчас мы в этом сами убедимся, а для начала разберём, зачем это вообще может понадобиться?

Зачем блокировать IP адрес?

Минутка занудства

Друзья, я в последнее время, если заметили, частенько начинаю какую-либо статью с подобного вопроса “для чего?”. Это не просто так. Популяризируя Linux, продвигая в массы Mikrotik и т.д., я не стремлюсь просто напичкать читателей готовыми “кейсами”, а хочу донести саму идею. Как по мне, это более эффективно. Да, я могу научить человека блокировать  IP на файрволле. И когда в следующий раз перед ним встанет задача “заблокируй IP на mikrotik” он вспомнит и сделает. Но задачи ведь ставятся не так. Ставится задача найти конкретное решение проблемы, а проблема описывается туманно и абстрактно. И уже ваша задача, как админа, перевести с человечьего языка в язык админский (разделить на подзадачи-кирпичики) и потом уже данный алгоритм воплотить в жизнь. Я как-нибудь запулю отдельную тему на этот счёт, обсудим.

Итак, для чего?

  1. Запретить доступ на конкретные сайты / серверы по принципу “чёрного списка”.
  2. Разграничение информационных потоков в сети организации.
  3. …прочие цели так или иначе попадают под №1, так что тут особо не напридумывать.

Как в Микротик заблокировать внешний IP адрес

Рассмотрим две ситуации – блокировка адреса для клиентов, находящихся под Mikrotik и блокировка внешнего IP для самого Mikrotik.

В обоих случаях нам будет нужен сетевой экран (Firewall), найти который можно в разделе “IP” – “Firewall”

Разница лишь в цепочке, в которую будет добавляться правило. Принцип простой:

  • Если источник трафика сама железка, это output;
  • Если назначение трафика сама железка, это input;
  • Если трафик идёт транзитом через железку, это forward;

Пример 1. Допустим, нам нужно заблокировать транзитный трафик на сайт litl-admin.ru. Узнаём его IP-адрес выполнив PING-запрос (например).

Добавляем новое правило, нажав “+” и прописываем следующие параметры:

Вкладка “General” указываем цепочку “forward” и адрес назначения 151.248.118.182

Переходим на вкладку “Action” и прописываем действие “drop”:

Готово!

Адрес отрезолвился, но обмена пакетами нет! И в списке правил файрволла можно увидеть, как растут счётчики в правиле, показывающие сколько пакетов и каким объёмом попали под критерии правила.

Примечательно, что с самого Mikrotik данный сайт прекрасно пингуется, т.к. в этом случае трафик будет не forward, а output (сгенерирован самим микротом).

Как в Микротик заблокировать сайт по имени

Некое развитие предыдущего варианта. В том же окне “Firewall” переходим на вкладку “Address Lists” и добавляем новый список:

Пример 2.

Указываем его имя (в дальнейшем, именно по этому имени нужно будет обращаться) и адрес сайта (символьное имя будет отрезолвлено, а IP адрес останется IP адресом).

В списке появится динамическая запись (символ “D”) с распознанным IP-адресом сайта:

И теперь как предыдущем примере создаём новое правило файрволла, в цепочке “forward”, только указываем не “Dst.Address”, а “Dst.Address List” из вкладки “Advanced” (выпадающий список).

Результат будет аналогичным.

Интересно? Поделись с другом
Litl-Admin.ru

Comments:

Leave a Reply