運用 MikroTik RouterOS 封鎖特定應用程式的網路設定

mikrotik routeros 軟路由

cjeco 2022-05-25 20:01:07 ‧ 2368 瀏覽

分享至

上週主管丟了一台 MikroTik 的軟路由給我，作業系統是 RouterOS 6.49.2。
要我本週四(26)下班前作好，以下是要求的條件：

1.只准 LAN2 埠的設備使用 LINE、WeChat 只能以 WAN1 埠連上網。
2.只准 LAN1 埠的設備使用 Chrome、Edge 只能以 WAN2 埠連上網。
3.除上述條件，其餘一概不准連上網路。

坦白說，以前沒實際見過或用過這設備，奮鬥了三、四天也才曉得 MikroTik
的軟路由是什麼東東，大概作用原理是什麼，後來試著設定作為 DHCP Server
，成功自動配發 IP，但對它仍是一知半解。在網上陸續爬了幾天，特別是

https://wiki.mikrotik.com/wiki/Manual:TOC
https://www.mobile01.com/topicdetail.php?f=110&t=5441567
https://www.mobile01.com/topicdetail.php?f=110&t=3205444

發現真是博大精深，無奈針對以上條件仍無從下手，懇請網上各位前輩指點一
二，或者告知何處有"密笈"可供快速研究，謝謝！

mathewkl iT邦高手 1 級 ‧ 2022-05-26 12:01:02 檢舉

WAN, LAN, Route, Firewall NAT 其他有時間再慢慢看
WAN, LAN, Route ->網路要通
Firewall NAT -> 主管要求的限制

echochio iT邦高手 1 級 ‧ 2022-05-26 18:46:29 檢舉

RouterOS 水很深

登入發表討論

直播研討會

{{ item.channelVendor }} {{ item.webinarstarted }} |

直播中

2 個回答

by2048

iT邦高手 1 級 ‧ 2022-05-26 08:48:16

WAN1,WAN2,LAN1,LAN2(解除bridge) 每個interface port先命名,設上ip address
ip route 先設好讓WAN1,WAN2能先上網
ip firewall NAT 設上規則
來源指ip,port,interface
目的指ip,port,interface
Chrome、Edge 指tcp 80 443
LINE 指103.2.31.0/24
WeChat 指 101.226.103.0/25

也許不是最好的方式,是給一個方向

回應 2
分享
檢舉

cjeco iT邦新手 3 級 ‧ 2022-05-26 14:56:03 檢舉

非常感謝您的回覆，大方向與小弟的大致雷同。但重點在設定，此產品的UI介面與一般防火牆或路由"邏輯"不太一樣，自定義的部份很多，難以下手。最後還是得謝謝您的回覆，謝謝!!

cjeco iT邦新手 3 級 ‧ 2022-05-26 14:58:03 檢舉

目前防火牆第一條先試作：擋LINE語音檔...失敗

登入發表回應

echochio

iT邦高手 1 級 ‧ 2022-05-26 19:00:42

這些功能理論都可用 ip firewall layer7-protocol 完成
基本的網路搞通後
建議你先看 Packet_Sniffer 就會知道要加哪些參數
https://wiki.mikrotik.com/wiki/Manual:Tools/Packet_Sniffer
例如 LAN1 埠的設備使用 Chrome、Edge 只能以 WAN2 埠連上網。
要用到 user-agent 至於如何設定我也沒測,
/ip firewall layer7-protocol add name=bot2 regexp="[Uu]ser-[Aa]gent: [Mm]ozilla"

設定 filter Rules 可以擋一些東西例如 line 流入流出
用firewall-> connection 你可看線上的流量及IP走向, 就知道為何沒擋到
Packet_Sniffer 抓還是比較準