5
MT 750 firewall Regel für Zeitbeschränkung
Hallo,
Möchte an dem Mikrotik 750 eine Zeitbeschränkung für eth4 einrichten. So-Do 8.00 - 20.00 Uhr, Fr-Sa 8.00-22.30 Uhr., außerhalb dieser Zeiten soll alles auf eth4 blockiert sein.
Mit den folgenden Regeln geht es auch soweit, außer das auch zu den Sperrzeiten Dienste wie Skype und andere dennoch gehen, nur http-Aufrufe werden geblockt. Was ist falsach?
[admin@MikroTik] > /ip firewall filter print
Flags: X - disabled, I - invalid, D - dynamic
0 ;;; MikroTik Empfehlung: Pakete mit Invalid-Mark gleich loswerden
chain=conntrack action=drop connection-state=invalid
1 ;;; Bereits vorhandene Verbindungen akzeptieren
chain=conntrack action=accept connection-state=established
2 ;;; Related Verbindungen akzeptieren (z.B. ICMP-Meldungen)
chain=conntrack action=accept connection-state=related
3 ;;; Neue Verbindungen nach Firewall-Regeln
chain=conntrack action=return
4 ;;; SPI Regeln zuerst behandeln
chain=forward action=jump jump-target=conntrack
5 ;;; Verbindung von Netz 0.0 initialisiert erlauben
chain=forward action=accept in-interface=ether2
6 ;;; Internet wochentags erlauben für 4.0
chain=forward action=accept in-interface=ether4
time=8h-22h,sun,mon,tue,wed,thu
7 ;;; Internet wochenende für 4.0 erlauben
chain=forward action=accept in-interface=ether4 time=8h-22h30m,fri,sat
8 ;;; Internet für 4.0 sonst blocken
chain=forward action=drop in-interface=ether4
time=0s-1d,sun,mon,tue,wed,thu,fri,sat
Bitte um Hilfe....
Viele Grüße
ecki33
Möchte an dem Mikrotik 750 eine Zeitbeschränkung für eth4 einrichten. So-Do 8.00 - 20.00 Uhr, Fr-Sa 8.00-22.30 Uhr., außerhalb dieser Zeiten soll alles auf eth4 blockiert sein.
Mit den folgenden Regeln geht es auch soweit, außer das auch zu den Sperrzeiten Dienste wie Skype und andere dennoch gehen, nur http-Aufrufe werden geblockt. Was ist falsach?
[admin@MikroTik] > /ip firewall filter print
Flags: X - disabled, I - invalid, D - dynamic
0 ;;; MikroTik Empfehlung: Pakete mit Invalid-Mark gleich loswerden
chain=conntrack action=drop connection-state=invalid
1 ;;; Bereits vorhandene Verbindungen akzeptieren
chain=conntrack action=accept connection-state=established
2 ;;; Related Verbindungen akzeptieren (z.B. ICMP-Meldungen)
chain=conntrack action=accept connection-state=related
3 ;;; Neue Verbindungen nach Firewall-Regeln
chain=conntrack action=return
4 ;;; SPI Regeln zuerst behandeln
chain=forward action=jump jump-target=conntrack
5 ;;; Verbindung von Netz 0.0 initialisiert erlauben
chain=forward action=accept in-interface=ether2
6 ;;; Internet wochentags erlauben für 4.0
chain=forward action=accept in-interface=ether4
time=8h-22h,sun,mon,tue,wed,thu
7 ;;; Internet wochenende für 4.0 erlauben
chain=forward action=accept in-interface=ether4 time=8h-22h30m,fri,sat
8 ;;; Internet für 4.0 sonst blocken
chain=forward action=drop in-interface=ether4
time=0s-1d,sun,mon,tue,wed,thu,fri,sat
Bitte um Hilfe....
Viele Grüße
ecki33
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 205906
Url: https://administrator.de/contentid/205906
Ausgedruckt am: 23.11.2024 um 05:11 Uhr
5 Kommentare
Neuester Kommentar
@Hammerson
Bitte vor dem Posten Gehirn einschalten oder wenigstens mal Dr. Google besuchen ! Der Mikrotik IST der Router und auch das OS:
Mikrotik RB750 - Quick Review
Bitte vor dem Posten Gehirn einschalten oder wenigstens mal Dr. Google besuchen ! Der Mikrotik IST der Router und auch das OS:
Mikrotik RB750 - Quick Review
Hallo,
ich würde ja ein Script benutzen das bei dem Router selber immer "nach sieht" bzw. sich erkundigt wie spät es ist und zu gegebener Zeit
dann eben die LAN Ports ganz deaktiviert, oder eben wieder aktiviert, so das eben auch gar nichts mehr damit funktioniert!
Dann ist eben auch ausgeschlossen, dass jemand noch ein Programm benutzen kann.
Gruß
Dobby
ich würde ja ein Script benutzen das bei dem Router selber immer "nach sieht" bzw. sich erkundigt wie spät es ist und zu gegebener Zeit
dann eben die LAN Ports ganz deaktiviert, oder eben wieder aktiviert, so das eben auch gar nichts mehr damit funktioniert!
Dann ist eben auch ausgeschlossen, dass jemand noch ein Programm benutzen kann.
Gruß
Dobby
Also zum einen würde ich mal bei der letzten Regel die Zeit rausnehmen, das ergibt sich ja von allein.
Außerdem sollte dir bewusst sein, dass du am Ende nur Traffic von ether4 filterst, alle anderen Richtungen und Ports sind noch erlaubt.
Warum jetzt Skype noch geht hat einen einfachen Grund: Regel 1 akzeptiert alle bestehenden Verbindungen. Wenn Skype also vorher gestartet wurde, kommt der Router gar nicht erst zu Regel 6/7.
Die einfachste Möglichkeit ist die Regel umzukehren und eine Drop-Regel vor das Connection-Tracking zu packen:
Frei aus dem Kopf
Der Vorschlag von Dobby, das über ein Script zu machen geht natürlich auch.
Über den Scheduler kannst du die passenden Zeiten einstellen.
Außerdem sollte dir bewusst sein, dass du am Ende nur Traffic von ether4 filterst, alle anderen Richtungen und Ports sind noch erlaubt.
Warum jetzt Skype noch geht hat einen einfachen Grund: Regel 1 akzeptiert alle bestehenden Verbindungen. Wenn Skype also vorher gestartet wurde, kommt der Router gar nicht erst zu Regel 6/7.
Die einfachste Möglichkeit ist die Regel umzukehren und eine Drop-Regel vor das Connection-Tracking zu packen:
add chain=forward action=drop place-before=4 in-interface=ether4 time=0-8h,sun,mon,tue,wed,thu,fri,sat
add chain=forward action=drop place-before=4 in-interface=ether4 time=22h-1d,sun,mon,tue,wed,thu
add chain=forward action=drop place-before=4 in-interface=ether4 time=22h30m-1d,fri,satDer Vorschlag von Dobby, das über ein Script zu machen geht natürlich auch.
Über den Scheduler kannst du die passenden Zeiten einstellen.
Danke, funkt wunderbar....
Grüße
ecki33
Grüße
ecki33
