0 Список сравнения
0 Избранные товары
0
Страницы: 1
Доступ к внешнему ресурсам через определенного провайдера
 
Здравствуйте!

Есть два провайдера (wan1, wan2)  и локальная сеть (lan), необходимо разрешить доступ к сайту 2ip.ru только через второго провайдера (wan2) а доступ к ipsee.ru только через первого провайдера (wan1).

Все вроде работает, но когда я отключаю второго провайдера (wan2), сайт 2ip.ru открывается через первого провайдера (wan1), чего не должно быть.

Каким образом можно заблокировать доступ к внешнему ресурсу через другого провайдера?

Спасибо

Мой конфиг
Код
# nov/27/2015 12:17:32 by RouterOS 6.22
#
/interface ethernet
set [ find default-name=ether5 ] disabled=yes
set [ find default-name=ether3 ] name=lan
set [ find default-name=ether1 ] name=wan1
set [ find default-name=ether2 ] name=wan2
set [ find default-name=ether4 ] disabled=yes name=wan3
/system logging action
set 2 remember=yes
/ip address
add address=192.168.0.151/24 interface=wan1 network=192.168.0.0
add address=10.0.7.22/24 interface=wan2 network=10.0.7.0
add address=10.0.0.1/24 interface=lan network=10.0.0.0
/ip dns
set allow-remote-requests=yes servers=8.8.8.8,8.8.4.4,192.168.0.1,10.0.7.1
/ip firewall address-list
add address=178.63.151.224 list=2ip.ru
add address=77.222.42.238 list=ipsee.ru
/ip firewall mangle
add action=mark-connection chain=forward in-interface=wan1 \
    new-connection-mark=to-wan1c
add action=mark-connection chain=forward in-interface=wan2 \
    new-connection-mark=to-wan2c
add action=mark-routing chain=prerouting comment="to wan1" connection-state=\
    new dst-address=!192.168.0.151 dst-address-list=ipsee.ru \
    new-routing-mark=to-wan1 src-address=10.0.0.0/24
add action=mark-routing chain=prerouting comment="to wan2" connection-state=\
    new dst-address=!10.0.7.22 dst-address-list=2ip.ru new-routing-mark=\
    to-wan2 src-address=10.0.0.0/24
add action=mark-routing chain=prerouting connection-mark=to-wan1c \
    new-routing-mark=to-wan1 src-address=10.0.0.0/24
add action=mark-routing chain=prerouting connection-mark=to-wan2c \
    new-routing-mark=to-wan2 src-address=10.0.0.0/24
/ip firewall nat
add action=masquerade chain=srcnat src-address=10.0.0.0/24
/ip route
add distance=1 gateway=192.168.0.1 routing-mark=to-wan1
add distance=1 gateway=10.0.7.1 routing-mark=to-wan2
add distance=1 gateway=10.0.7.1
add distance=2 gateway=192.168.0.1
/ip route rule
add action=lookup-only-in-table routing-mark=to-wan1c table=to-wn1
add action=lookup-only-in-table routing-mark=to-wan2c table=to-wn2
/ip upnp
set allow-disable-external-interface=no
/snmp
set trap-community=public
/system clock
set time-zone-name=Europe/Moscow
 
Куча не нужных правил, в мангле четыре правила, по два на адрес лист, для разруливания по провайдерам, и два правила в фаерволе, в приведённом конфиге которого нет,  для этих адрес листов на запрещение трафика по не нужному провайдеру.
 
Действительно я также использовал два запрещающих правила, которые по сути решали мой вопрос.

Код
/ip firewall filter
add action=reject chain=forward dst-address-list=2ip.ru out-interface=wan1 protocol=tcp reject-with=tcp-reset
add action=reject chain=forward dst-address-list=ipsee.ru out-interface=wan2 protocol=tcp reject-with=tcp-reset


Но хотелось бы навести порядок в моих(взятых с сайта) настройках и понять как это работает.

По сути мне нужно три действия:
1. сайт 2ip.ru должен открывался только через wan1, когда wan1 не доступен — сайт не открывается
2. сайт ipsee.ru должен открываться только через wan2, wan2 не доступен — сайт не открывается
3. весь трафик исходящий и входящий с порта 3030 должен идти через wan1, wan1 не доступен — ресурс не открывается через 3030 порт

вот мой новый конфиг где настроен ответ через тот интерфейс с которого пришел запрос

Код
/interface ethernet
set [ find default-name=ether5 ] disabled=yes
set [ find default-name=ether3 ] name=lan
set [ find default-name=ether1 ] name=wan1
set [ find default-name=ether2 ] name=wan2
set [ find default-name=ether4 ] disabled=yes name=wan3
/ip pool
add name=dhcp_pool1 ranges=10.0.0.20-10.0.0.30
/ip dhcp-server
add address-pool=dhcp_pool1 disabled=no interface=lan name=dhcp1
/system logging action
set 2 remember=yes
/ip address
add address=192.168.0.151/24 interface=wan1 network=192.168.0.0
add address=10.0.7.22/24 interface=wan2 network=10.0.7.0
add address=10.0.0.1/24 interface=lan network=10.0.0.0
/ip dhcp-server network
add address=10.0.0.0/24 dns-server=10.0.0.1 gateway=10.0.0.1
/ip dns
set allow-remote-requests=yes servers=192.168.0.1,10.0.7.1
/ip firewall address-list
add address=178.63.151.224 list=2ip.ru
add address=77.222.42.238 list=ipsee.ru
/ip firewall mangle
add action=mark-connection chain=input dst-address=192.168.0.151 in-interface=wan1 new-connection-mark=wan1-input passthrough=no
add action=mark-routing chain=output connection-mark=wan1-input new-routing-mark=to-wan1 passthrough=no
add action=mark-connection chain=input dst-address=10.0.7.22 in-interface=wan2 new-connection-mark=wan2-input passthrough=no
add action=mark-routing chain=output connection-mark=wan2-input new-routing-mark=to-wan2 passthrough=no
/ip firewall nat
add action=masquerade chain=srcnat src-address=10.0.0.0/24
/ip route
add distance=1 gateway=192.168.0.1 routing-mark=to-wan1
add distance=1 gateway=10.0.7.1 routing-mark=to-wan2
add distance=1 gateway=10.0.7.1
add distance=2 gateway=192.168.0.1


Как правильно реализовать эти три действия? уже голову сломал понять не могу логику
Страницы: 1