В цій статті, я розповім як працювати з Address List на пристроях MikroTik
Address List — це якесь логічне об’єднання кількох IP адрес, що дозволяє створювати дію тих адрес, які ми можемо об’єднати, наприклад загальною маскою. Список адрес дозволяє одночасно створити дію для декількох IP-адрес.
Список адрес стане в пригоді, щоб не прописувати для різних IP безліч однотипних правил. Ці адреси можна закинути в список, а потім створити одне правило для Address List. Якщо вам не зовсім зрозуміло, для чого потрібні списки адрес, то прочитавши цю статтю, думаю вам все стане зрозумілим.
Отже, почнемо розбиратись на практиці в Address List MikroTik.
- Запускаємо winbox і приєднуємось до пристрою мікротік.
- Далі переходимо на вкладку IP, потім на вкладку Firewall і далі на вкладку Addres Lists
- Натискаємо плюс і бачимо перед собою вікно, в якому є такі поля
- List – Тут ми можемо побачити назву списку, або, якщо ми створюємо новий список, тоді в цьому полі ми можемо вписати назву нашого списку
- Address – тут можна вписати, IP адресу, пул адрес, цілу мережу або доменне ім’я.
- Timeout – тут можна назначити час життя певній адресі, або адресам.
- В низу ми можемо побачити поле з датою та часом коли було додано адресу, або адреси.
Тепер давайте на практиці подивимось як це працює.
- В першому варіанті, створюємо список в який ми додамо одну IP адресу. (192.168.1.25)
- В другому варіанті, ми можемо створити список в який додати цілу підмережу IP адрес. (192.168.1.0/24)
- Третій варіант, ми створимо список в який додамо пул адрес, робиться це через дефіс (192.168.1.30-192.168.1.50)
- Четвертий варіант, ми створимо список в який додамо доменне ім’я, в цьому випадку мікротік сам автоматично “підтягує” всі адреси, які пов’язані з цим доменним ім’ям. (google.com)
- П`ятий варіант, створимо адресу і в полі Timeout виставимо їй час життя, наприклад в одну годину (00:01:00), тобто через одну годину цей запис сам видалиться.
З варіантами списків ми розібралися, Тепер розберімось, як ми можемо використовувати створені нами списки (Address List).
Один з варіантів, який я особисто постійно використовую, це блокування. До прикладу, перейдемо у Firewall на вкладку RAW і створимо правило яке буде блокувати всі адреси, які ми додали в певний список, як це робиться:
Натискаємо плюс, на вкладці General в полі Chain обираємо Prerouting далі в полі src-address list обираємо потрібний нам список, зі списків які ми створили раніше. Також ми можемо обрати для якого конкретно інтерфейсу це правило буде працювати, якщо не обирати інтерфейс, то правило буде працювати для всіх інтерфейсів. Далі переходимо на вкладку Action і обираємо з випадаючого списку Drop. Таким чином, ми створили правило, яке блокує вхідний трафік від IP адрес, які додані в створений нами список.
Розглянемо ще один варіант використання цих списків, переходимо на вкладку Filter Rules, і створюємо правило. (Наприклад правило, яке буде забороняти користувачам заходити на певні ресурси в мережі інтернет)
Обираємо ланцюжок Forward, тобто транзитний трафік, список адрес, до якого заборонено трафік, протокол tcp і порти 80, 443. Далі переходимо на вкладку Action і обираємо Drop! Також можна використовувати знак (!) інверсії, якщо його натиснути, то це буде означати, що заборонено трафік на всі ресурси в мережі інтернет, крім тих, які вказані в списку.
Отже, підсумуємо, в цій статті, я навів лише деякі варіанти використання списків (Address List), ви маєте розуміти, що насправді варіантів набагато більше і тут все залежить лише від вашої фантазії і реальних потреб.
Посилання на YouTube відео – https://youtu.be/Qa_iQoYIvbA
