Страница 1 из 1

Правила FW для LAN интерфейса

Добавлено: 01 окт 2012, 16:15
olhovik
Hi
Ether1 - провайдерский линк
Ether2 - локалка
Мне нужно сделать правило, которое бы блокировало доступ всех клиентов за ether2 (локалка) к роутеру, но разрешить трафик через ether2 на ether1(маскардинг) далее в инет :)
Но гложет меня сомнение, на счёт вот этого правила chain=input action=drop in-interface=ether2
Подскажите, знающие люди, это правило блокирует пакеты, которые имеют своим назначением ether2 и совсем не затрагивают пакеты, которые идут транзитом через ether2 на ether1 по правилам маскардинга? Попробовать будет несколько проблематично:)

Re: Правила FW для LAN интерфейса

Добавлено: 01 окт 2012, 17:42
alex_bratsk
доступ всех клиентов за ether2 (локалка) к роутеру это правило input
разрешить трафик через ether2 на ether1(маскардинг) это правило forward и masquerade.
значит input=drop forward=accept и т.д.

Re: Правила FW для LAN интерфейса

Добавлено: 13 окт 2012, 15:48
olhovik
alex_bratsk писал(а):доступ всех клиентов за ether2 (локалка) к роутеру это правило input
разрешить трафик через ether2 на ether1(маскардинг) это правило forward и masquerade.
значит input=drop forward=accept и т.д.


Сегодня дошли руки проверить. Всё работает как я настраивал, кроме доступа НА ether2.
Мне надо запретить любой доступ К РОУТЕРУ через ether2, но правило input, к сожалению, действует и на трафик через.
Вот помню у dlink, кажется, есть такая сущность как core, и к ней можно трафик блокировать.
Может и у МТ что то такое есть?
Понятно, что можно блокировать порты и винбокса и телнета и вэбфига. Я то собсно так и сделал :), но может есть более красивый варинт?

Re: Правила FW для LAN интерфейса

Добавлено: 14 окт 2012, 21:28
iSupport
tools - mac server

посмотрите