From 50648144831c08bcec879c6a35d3dfeb950c5162 Mon Sep 17 00:00:00 2001
From: admin1350 <admin1350@lord-mikrotik.ru>
Date: Mon, 2 Mar 2026 18:59:46 +0000
Subject: [PATCH] =?UTF-8?q?=D0=94=D0=BE=D0=B1=D0=B0=D0=B2=D0=B8=D1=82?=
 =?UTF-8?q?=D1=8C=20laba=20petrovich=203.2=20srm.md?=
MIME-Version: 1.0
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: 8bit

---
 laba petrovich 3.2 srm.md | 26 ++++++++++++++++++++++++++
 1 file changed, 26 insertions(+)
 create mode 100644 laba petrovich 3.2 srm.md

diff --git a/laba petrovich 3.2 srm.md b/laba petrovich 3.2 srm.md
new file mode 100644
index 0000000..ecf7a66
--- /dev/null
+++ b/laba petrovich 3.2 srm.md	
@@ -0,0 +1,26 @@
+# 1. Очищаем текущую цепочку FORWARD, чтобы не путаться в номерах
+iptables -F FORWARD
+
+# 2. Первым делом — разрешаем ответы (чтобы сервер и интернет работали)
+iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
+
+# 3. Директор (Полный доступ)
+iptables -A FORWARD -s 192.168.10.10 -j ACCEPT
+
+# 4. Кладовщик (Только интернет: ICMP, 80, 443)
+# ! -d 192.168.0.0/16 означает "кроме локальной сети"
+iptables -A FORWARD -s 192.168.30.30 -d 192.168.0.0/16 -j DROP
+iptables -A FORWARD -s 192.168.30.30 -p icmp -j ACCEPT
+iptables -A FORWARD -s 192.168.30.30 -p tcp -m multiport --dports 80,443 -j ACCEPT
+
+# 5. Бухгалтер 
+# Разрешаем к серверу
+iptables -A FORWARD -s 192.168.20.20 -d 192.168.40.40 -p icmp -j ACCEPT
+iptables -A FORWARD -s 192.168.20.20 -d 192.168.40.40 -p tcp --dport 80 -j ACCEPT
+# Запрещаем к остальной локалке (Директору и Кладовщику)
+iptables -A FORWARD -s 192.168.20.20 -d 192.168.0.0/16 -j DROP
+# Разрешаем в интернет (всё остальное)
+iptables -A FORWARD -s 192.168.20.20 -j ACCEPT
+
+# 6. DNS (чтобы имена сайтов разрешались)
+iptables -A FORWARD -p udp --dport 53 -j ACCEPT