Всем известна Windows шара, при помощи которой можно открыть доступ к информации на своем компьютере для других компьютеров в сети.
Рис.1. Рабочий стол Windows7.
Для того чтобы увидеть другие компьютеры сети, необходимо кликнуть по иконке Сеть на рабочем столе.
Вот мы видим список компьютеров, которые сейчас в сети. Выберем один из компьютеров, чтобы увидеть доступные ресурсы для общего доступа.
Рис.3. Шара ресурсы.
Здесь мы видим расшареные ресурсы (то есть ресурсы, к которым предоставлен общий доступ). Любой компьютер из сети может их просматривать. Таким способом можно обмениваться различным контентом.
Рис.4. Схема сети.
Что мы имеем? Mikrotik RouterBoard RB/450g, подключенный к Интернет через первый интерфейс. Остальные интерфейсы объединены в bridge, к которому подключены компьютеры пользователей.
Рис.5. Mikrotik routerboard, bridge.
Чтобы пользователи не могли обмениваться через Windows Shared, и тем самым не нагружали Mikrotik RouterBoard RB/450g, запретим использование Windows Shared на mikrotik routerboard.
Список портов для стека протоколов TCP/IP можно найти в интернете. В нашем случае нас интересует:
137/TCP,UDP NetBIOS NetBIOS Name Service;
138/TCP,UDP NetBIOS NetBIOS Datagram Service;
139/TCP,UDP NetBIOS NetBIOS Session Service;
445/TCP Microsoft-DS Active Directory, Windows shares;
445/UDP Microsoft-DS SMB file sharing.
Теперь перейдем к настройкам. Так как трафик будет проходить через Mikrotik RouterBoard RB/450g, значит, трафик будет проходящий, то есть будет попадать в цепочку forward.
Переходим в раздел FIREWALL
Рис.6. Mikrotik RouterBoard RB/450g раздел FIREWALL.
Создаем запрещающие правила в Mikrotik RouterBoard RB/450g:
Рис.7. Создаем правило FIREWALL.
Цепочку выбираем forward.
Src.Address – адрес источника. Указываем всю подсеть 192.168.4.0/24.
Protocol – выбираем протокол tcp.
Any. Port – указываем для какого порта будет применяться правило.
Рис.8. Mikrotik RouterBoard RB/450g вкладка Action.
После того как введены все указанные выше значения, переходим на вкладку Action и выбираем значение drop и жмем ок.
Таким же способом необходимо создать остальные правила с другими портами для протокола tcp и udp. Теперь, если мы попробуем зайти на один из компьютеров в сети, то получим сообщение об ошибке.
Евгений Рудченко