ecki33
Goto Top

MT 750 firewall Regel für Zeitbeschränkung

Hallo,

Möchte an dem Mikrotik 750 eine Zeitbeschränkung für eth4 einrichten. So-Do 8.00 - 20.00 Uhr, Fr-Sa 8.00-22.30 Uhr., außerhalb dieser Zeiten soll alles auf eth4 blockiert sein.
Mit den folgenden Regeln geht es auch soweit, außer das auch zu den Sperrzeiten Dienste wie Skype und andere dennoch gehen, nur http-Aufrufe werden geblockt. Was ist falsach?

[admin@MikroTik] > /ip firewall filter print
Flags: X - disabled, I - invalid, D - dynamic
0 ;;; MikroTik Empfehlung: Pakete mit Invalid-Mark gleich loswerden
chain=conntrack action=drop connection-state=invalid

1 ;;; Bereits vorhandene Verbindungen akzeptieren
chain=conntrack action=accept connection-state=established

2 ;;; Related Verbindungen akzeptieren (z.B. ICMP-Meldungen)
chain=conntrack action=accept connection-state=related

3 ;;; Neue Verbindungen nach Firewall-Regeln
chain=conntrack action=return

4 ;;; SPI Regeln zuerst behandeln
chain=forward action=jump jump-target=conntrack

5 ;;; Verbindung von Netz 0.0 initialisiert erlauben
chain=forward action=accept in-interface=ether2

6 ;;; Internet wochentags erlauben für 4.0
chain=forward action=accept in-interface=ether4
time=8h-22h,sun,mon,tue,wed,thu

7 ;;; Internet wochenende für 4.0 erlauben
chain=forward action=accept in-interface=ether4 time=8h-22h30m,fri,sat

8 ;;; Internet für 4.0 sonst blocken
chain=forward action=drop in-interface=ether4
time=0s-1d,sun,mon,tue,wed,thu,fri,sat

Bitte um Hilfe....
Viele Grüße
ecki33

Content-Key: 205906

Url: https://administrator.de/contentid/205906

Ausgedruckt am: 28.03.2024 um 23:03 Uhr

Mitglied: Hammerson
Hammerson 01.05.2013 aktualisiert um 13:55:36 Uhr
Goto Top
@aqui
Stimmt ja, Mikrotik!
Danke für den Hinweis
Mitglied: aqui
aqui 01.05.2013 um 13:21:52 Uhr
Goto Top
@Hammerson
Bitte vor dem Posten Gehirn einschalten oder wenigstens mal Dr. Google besuchen ! Der Mikrotik IST der Router und auch das OS:
Mikrotik RB750 - Quick Review
Mitglied: 108012
108012 01.05.2013, aktualisiert am 02.05.2013 um 01:01:23 Uhr
Goto Top
Hallo,

ich würde ja ein Script benutzen das bei dem Router selber immer "nach sieht" bzw. sich erkundigt wie spät es ist und zu gegebener Zeit
dann eben die LAN Ports ganz deaktiviert, oder eben wieder aktiviert, so das eben auch gar nichts mehr damit funktioniert!

Dann ist eben auch ausgeschlossen, dass jemand noch ein Programm benutzen kann.


Gruß
Dobby
Mitglied: dog
dog 02.05.2013 aktualisiert um 12:26:38 Uhr
Goto Top
Also zum einen würde ich mal bei der letzten Regel die Zeit rausnehmen, das ergibt sich ja von allein.
Außerdem sollte dir bewusst sein, dass du am Ende nur Traffic von ether4 filterst, alle anderen Richtungen und Ports sind noch erlaubt.

Warum jetzt Skype noch geht hat einen einfachen Grund: Regel 1 akzeptiert alle bestehenden Verbindungen. Wenn Skype also vorher gestartet wurde, kommt der Router gar nicht erst zu Regel 6/7.

Die einfachste Möglichkeit ist die Regel umzukehren und eine Drop-Regel vor das Connection-Tracking zu packen:
add chain=forward action=drop place-before=4 in-interface=ether4 time=0-8h,sun,mon,tue,wed,thu,fri,sat
add chain=forward action=drop place-before=4 in-interface=ether4 time=22h-1d,sun,mon,tue,wed,thu
add chain=forward action=drop place-before=4 in-interface=ether4 time=22h30m-1d,fri,sat
Frei aus dem Kopf

Der Vorschlag von Dobby, das über ein Script zu machen geht natürlich auch.
Über den Scheduler kannst du die passenden Zeiten einstellen.
Mitglied: ecki33
ecki33 09.05.2013 um 14:13:31 Uhr
Goto Top
Danke, funkt wunderbar....

Grüße
ecki33