Содержание
Микротик, как представитель L3 оборудования, прекрасно справляется с функциями блокировки IP адресов. И сейчас мы в этом сами убедимся, а для начала разберём, зачем это вообще может понадобиться?
Зачем блокировать IP адрес?
Минутка занудства
Друзья, я в последнее время, если заметили, частенько начинаю какую-либо статью с подобного вопроса “для чего?”. Это не просто так. Популяризируя Linux, продвигая в массы Mikrotik и т.д., я не стремлюсь просто напичкать читателей готовыми “кейсами”, а хочу донести саму идею. Как по мне, это более эффективно. Да, я могу научить человека блокировать IP на файрволле. И когда в следующий раз перед ним встанет задача “заблокируй IP на mikrotik” он вспомнит и сделает. Но задачи ведь ставятся не так. Ставится задача найти конкретное решение проблемы, а проблема описывается туманно и абстрактно. И уже ваша задача, как админа, перевести с человечьего языка в язык админский (разделить на подзадачи-кирпичики) и потом уже данный алгоритм воплотить в жизнь. Я как-нибудь запулю отдельную тему на этот счёт, обсудим.
Итак, для чего?
- Запретить доступ на конкретные сайты / серверы по принципу “чёрного списка”.
- Разграничение информационных потоков в сети организации.
- …прочие цели так или иначе попадают под №1, так что тут особо не напридумывать.
Как в Микротик заблокировать внешний IP адрес
Рассмотрим две ситуации – блокировка адреса для клиентов, находящихся под Mikrotik и блокировка внешнего IP для самого Mikrotik.
В обоих случаях нам будет нужен сетевой экран (Firewall), найти который можно в разделе “IP” – “Firewall”
Разница лишь в цепочке, в которую будет добавляться правило. Принцип простой:
- Если источник трафика сама железка, это output;
- Если назначение трафика сама железка, это input;
- Если трафик идёт транзитом через железку, это forward;
Пример 1. Допустим, нам нужно заблокировать транзитный трафик на сайт litl-admin.ru. Узнаём его IP-адрес выполнив PING-запрос (например).
Добавляем новое правило, нажав “+” и прописываем следующие параметры:
Вкладка “General” указываем цепочку “forward” и адрес назначения 151.248.118.182
Переходим на вкладку “Action” и прописываем действие “drop”:
Адрес отрезолвился, но обмена пакетами нет! И в списке правил файрволла можно увидеть, как растут счётчики в правиле, показывающие сколько пакетов и каким объёмом попали под критерии правила.
Примечательно, что с самого Mikrotik данный сайт прекрасно пингуется, т.к. в этом случае трафик будет не forward, а output (сгенерирован самим микротом).
Как в Микротик заблокировать сайт по имени
Некое развитие предыдущего варианта. В том же окне “Firewall” переходим на вкладку “Address Lists” и добавляем новый список:
Пример 2.
Указываем его имя (в дальнейшем, именно по этому имени нужно будет обращаться) и адрес сайта (символьное имя будет отрезолвлено, а IP адрес останется IP адресом).
В списке появится динамическая запись (символ “D”) с распознанным IP-адресом сайта:
И теперь как предыдущем примере создаём новое правило файрволла, в цепочке “forward”, только указываем не “Dst.Address”, а “Dst.Address List” из вкладки “Advanced” (выпадающий список).
Comments: