DiegoAngra07
(usa Ubuntu)
Enviado em 03/08/2016 - 10:34h
Bom dia pessoal, tudo bem?
Sou novato no mundo do MikroTik e gerencio em torno de 10 clients com este firewall implementado há uns 6 meses, com regras básicas de acessos e bloqueios, NAT, queues e etc.
Agora um cliente deseja o seguinte cenário:
- Bloqueio geral da internet em todas as suas estações, exceto uma e exceto o servidor.
- Liberação apenas de alguns sites específicos nas estações bloqueadas.
- Liberação total para alguns celulares específicos.
Minha rede é composta por:
192.168.254.254 - MikroTik
192.168.254.1 - Debian com um MySQL slave de outro server remoto (o cliente tem um sistema que fica replicando a todo tempo para este endereço remoto).
192.168.254.10 - Estação que não terá bloqueio.
192.168.254.11 - 192.168.254.253 - Demais endereços da rede que serão restritos.
O que eu preciso resumidamente:
- Uma regra que permita a saída total do Debian (192.168.254.1) e da estação 10.
- Uma regra que permita a saída total de uma faixa específica de IPs (onde eu planejo colocar os celulares do cliente como IP estático), por exemplo do 50 ao 60.
- Uma regra que bloqueie a saída de todos os endereços que não se encontrem nessa 'whitelist' acima, porém permita a navegação em alguns sites específicos (o que eu acredito que deve ser outra regra).
A parte dos sites não é minha prioridade, conseguindo fazer uma blacklist para bloquear e uma whitelist para navegar já está ótimo pra primeiro passo. Eu já fiz aqui uma regra de drop forward na eth1 para todos os endereços que estão na blacklist e uma accept forward para todos que estão na whitelist, só queria uma opinião do fórum e sugestões de qual a melhor maneira de atingir os objetivos acima trabalhando com addresses-list e não bloqueando IP por IP manualmente.
Muito obrigado desde já!