bridge+фильтрация

Обсуждение ПО и его настройки
gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

iwc1 писал(а):Вы предлагаете создать бридж между ван1 и каким-нибудь свободным эзернет портом?



Ну конечно, я как-то наверное не внятно описал, конечно с любым другим свободным портом, который не смотрит в сторону локальной сети.

Да, кстати, а IP6 вы не используете??? Правила bridge filter не работают с IP6 адресами.


iwc1
Сообщения: 8
Зарегистрирован: 28 мар 2017, 12:54

И все-таки главный вопрос:
зачем и всегда ли надо назначать адрес бриджу, если он работает прозрачно?


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

iwc1 писал(а):И все-таки главный вопрос:
зачем и всегда ли надо назначать адрес бриджу, если он работает прозрачно?

если вам просто надо принять трафик и отправить далее - адрес бриджу не нужен, аля неуправляемый свитч ТОЛЬКО
если вам надо сделать вышеописанное, но ещё и делать исходящие запросы, то адрес на бридж ставиться и он превращается
в обычный интерфейс со всеми правами и правилами которые есть для любого IP-интерфейса.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
iwc1
Сообщения: 8
Зарегистрирован: 28 мар 2017, 12:54

Благодарю


Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

Если он не даст адрес бриджу, каким образом он перенаправит трафик за NAT в локалку? Как это разрулить без адреса?


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

podarok66 писал(а):Если он не даст адрес бриджу, каким образом он перенаправит трафик за NAT в локалку? Как это разрулить без адреса?

я согласен, но я ему описал какой может быть бридж, если тупо два порта сбридживать - без адреса просто и сердито,
а если НАТ, и так далее, то конечно адресация, правила и вперёд....

Я думаю я описал просто, и так чтобы было понятно, а уже ТС пусть решает...
но лично мне кажется - как-то у ТС всё сложно....



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

Всё верно описал, возможно ТС что-то и вынесет из разговора. Я ему тоже абсолютно рабочую схему описывал, у самого есть подобный вариант в работе. Только вместо хоста, отдельный сервак наружу без доступа в локалку. И то лишь потому, что у меня к серваку доступа нет никакого. А без правок сетевых настроек сервера как построить общение его с локалкой я не представляю...


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
iwc1
Сообщения: 8
Зарегистрирован: 28 мар 2017, 12:54

Благодарю всех за комментарии.
Есть еще один подобный вопрос: заработает ли такая схема?
PC----Mikrotik (bridge)-----dsl модем в режиме бриджа.

Сейчас эта схема работает без микротика: dsl в бридже, pppoe создается на PC.
Цель - обеспечить фильтрацию. Перевести модем в route и настроить фильтрацию на нем - не представляется возможным.

Теоретически должно заработать. Но может есть какие-то нюансы..?


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

Прекрасно работает...


Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

Если честно, мало кто пользуется фильтрами в бриджах, поэтому у всех такие сомнения. Но, предполагаю, что все должно заработать без каких-то особых проблем.
У меня возникает вопрос, что вы хотите фильтровать на Микротике? И что там на вашем хосте за система? Может целесообразнее будет использовать фильтрацию на самом устройстве, выступающем в качестве хоста? Если там стоит Линукс, то эти оси имеют очень мощный и гибкий фаерволл, в чем-то превосходящий Микротиковский.
У самого есть в работе схема типа:

Код: Выделить всё

интернет --------Тик(бридж с внешним адресом)--------Сервер(второй внешний адрес)
                                      |
                                      |
                    Локалка за NAT(с сервером не общается)


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
Ответить