Правила FW для LAN интерфейса

Обсуждение ОС и пр.
olhovik
Сообщения: 30
Зарегистрирован: 21 фев 2012, 12:00

Правила FW для LAN интерфейса

Сообщение olhovik » 01 окт 2012, 16:15

Hi
Ether1 - провайдерский линк
Ether2 - локалка
Мне нужно сделать правило, которое бы блокировало доступ всех клиентов за ether2 (локалка) к роутеру, но разрешить трафик через ether2 на ether1(маскардинг) далее в инет :)
Но гложет меня сомнение, на счёт вот этого правила chain=input action=drop in-interface=ether2
Подскажите, знающие люди, это правило блокирует пакеты, которые имеют своим назначением ether2 и совсем не затрагивают пакеты, которые идут транзитом через ether2 на ether1 по правилам маскардинга? Попробовать будет несколько проблематично:)
alex_bratsk
Сообщения: 38
Зарегистрирован: 27 авг 2012, 17:38

Re: Правила FW для LAN интерфейса

Сообщение alex_bratsk » 01 окт 2012, 17:42

доступ всех клиентов за ether2 (локалка) к роутеру это правило input
разрешить трафик через ether2 на ether1(маскардинг) это правило forward и masquerade.
значит input=drop forward=accept и т.д.
RouterBOARD 2011UAS-2HnD-IN
Version 6.24
Current Firmware 3.19
ftp://angara38.com/Public/Mikrotik
olhovik
Сообщения: 30
Зарегистрирован: 21 фев 2012, 12:00

Re: Правила FW для LAN интерфейса

Сообщение olhovik » 13 окт 2012, 15:48

alex_bratsk писал(а):доступ всех клиентов за ether2 (локалка) к роутеру это правило input
разрешить трафик через ether2 на ether1(маскардинг) это правило forward и masquerade.
значит input=drop forward=accept и т.д.


Сегодня дошли руки проверить. Всё работает как я настраивал, кроме доступа НА ether2.
Мне надо запретить любой доступ К РОУТЕРУ через ether2, но правило input, к сожалению, действует и на трафик через.
Вот помню у dlink, кажется, есть такая сущность как core, и к ней можно трафик блокировать.
Может и у МТ что то такое есть?
Понятно, что можно блокировать порты и винбокса и телнета и вэбфига. Я то собсно так и сделал :), но может есть более красивый варинт?
iSupport
Сообщения: 2439
Зарегистрирован: 06 фев 2011, 20:44

Re: Правила FW для LAN интерфейса

Сообщение iSupport » 14 окт 2012, 21:28

tools - mac server

посмотрите
Граждане, сколько раз просил =) чем понятнее и точнее сформулирован вопрос - тем понятнее и точнее будет на него ответ.
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь

Вернуться в «MikroTik RouterOS»

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и 0 гостей