Firewall - Liberar Determinados MACs para Sites Bloqueados

[ewquadros]

Olá
Nas regras de firewall estão bloqueados Facebook e Youtube, porém é necessário liberar alguns MACs para acesso irrestrito a Internet, pois os usuários utilizam dispositivos moveis (notebook, celular, tablet) em transito entre a empresa matriz e filial.
A RB é a default gateway da Rede.

Foi utilizada a regra abaixo, mas sem sucesso.

Código :

chain=input src-mac-address=XX:XX:XX:XX:XX:XX action=accept

[Bruno]

Olá
Nas regras de firewall estão bloqueados Facebook e Youtube, porém é necessário liberar alguns MACs para acesso irrestrito a Internet, pois os usuários utilizam dispositivos moveis (notebook, celular, tablet) em transito entre a empresa matriz e filial.
A RB é a default gateway da Rede.

Foi utilizada a regra abaixo, mas sem sucesso.

Código :

chain=input src-mac-address=XX:XX:XX:XX:XX:XX action=accept

primeiro
como vc esta fazendo o bloqueio é pela chain input ???? ou forward
pois se vc quer controlar o dispositivo final é forward

input pacotes que entra e tem por destino o router
forward pacotes que passam pelo router
output pacotes que sai do router originados pelo router


confesso que nunca usei a tag src-mac-address então fiz o que muitos deveria fazer acessar a documentação do desenvolvedor http://wiki.mikrotik.com/wiki/Manual:IP/Firewall/Filter

olhando la vi que o src-mac-address é corresponde ao endereço MAC de origem do pacote

agora se ele vai sobrepor a regra do do bloqueio não sei, pois não sei como vc esta fazendo as regras ex:
se vc tem um forward que quando o source for facebook vc da um drop
não vai funcionar pois o src-mac é origem

agora se vc tem uma regra que o source é sua rede o dst é o facebook deve funcionar

so mude a chain de input pra forward

[ewquadros]

Mudei para input, com o mesmo resultado. Verifiquei que não resolve DNS

nslookup facebook.com 208.67.222.222
Servidor: resolver1.opendns.com
Address: 208.67.222.222


DNS request timed out.
timeout was 2 seconds.


Assim está a regra

add action=drop chain=forward comment="DROP FACEBOOK" layer7-protocol=Facebook src-address=0.0.0.0/0


add action=accept chain=forward src-mac-address=A4:1F:72:FC:73:AD

[Bruno]

Mudei para input, com o mesmo resultado. Verifiquei que não resolve DNS

nslookup facebook.com 208.67.222.222
Servidor: resolver1.opendns.com
Address: 208.67.222.222


DNS request timed out.
timeout was 2 seconds.


Assim está a regra

add action=drop chain=forward comment="DROP FACEBOOK" layer7-protocol=Facebook src-address=0.0.0.0/0


add action=accept chain=forward src-mac-address=A4:1F:72:FC:73:AD

opa

e não vai resolver pois o layer vai pegar o facebook na sua consulta

o src-address esta em 0.0.0.0/0
o src-address tem que ser a sua rede
pra vc bloquear somente a saida do cliente e não entrada

[ewquadros]

Pefeito, acredito que estamos quase.
Mudei de input para foward e src-address para o endereço da Rede.
Já é possivel resolver DNS, mas não dá ping.

[alexrock]

Sempre a regra específica vem primeiro e o bloqueio geral depois. Tem n formas de fazer.

Enviado de meu LG-K350 usando Tapatalk