Добрый день,
Помогите разобраться, то ли глюк софта то ли меня!
Создано одно лишь правило Input-ICMP
Но разрешает любой исходящий трафик, даже если принудительно выставить DROP, все равно трафик гуляет!
Прошивка 6.40.2
Роутер на реагирует на политики Firewall
-
kreiz
- Сообщения: 18
- Зарегистрирован: 31 авг 2017, 05:28
Давайте подробнее - что у вас там в фаерволе и чего вы хотите добиться?
Если у вас
Чтобы запретить исходящий трафик непосредственно с роутера вам нужна цепочка output
Если у вас
единственное правило, то очевидно вы не получите того, что желаете.Input-ICMP
Чтобы запретить исходящий трафик непосредственно с роутера вам нужна цепочка output
-
nero85
- Сообщения: 15
- Зарегистрирован: 17 июн 2017, 06:29
Хочу запретить компу выход в интернет а второму разрешить!
С разных бриджей
С разных бриджей
-
kreiz
- Сообщения: 18
- Зарегистрирован: 31 авг 2017, 05:28
В таком случае вам нужно forward
Почитайте в интернетах - там много и доступно.
Если в двух словах:
input - это все, что приходит на роутер и адресовано именно ему
output - это все, что роутерт отправляет непосредственно от своего лица
forward - это все, что проходит через роутер транзитом не важно в какую сторону
а вообще варианты разнообразны - вы можете настроить маскарадинг только на один порт- остальные в интернет уже не попадут.
Почитайте в интернетах - там много и доступно.
Если в двух словах:
input - это все, что приходит на роутер и адресовано именно ему
output - это все, что роутерт отправляет непосредственно от своего лица
forward - это все, что проходит через роутер транзитом не важно в какую сторону
а вообще варианты разнообразны - вы можете настроить маскарадинг только на один порт- остальные в интернет уже не попадут.
-
nero85
- Сообщения: 15
- Зарегистрирован: 17 июн 2017, 06:29
Согласен что разнообразны
Он на правила не реагирует,
Зачем нужен forward, если он без него все пропускает и везде, на DROp не реагирует.
При одного единственного правила src 192.168.0.0/24 DROP dst 0.0.0.0/0, нон все равно разрешаем все из сети 192.168.0.0 везде гулять!
Он на правила не реагирует,
Зачем нужен forward, если он без него все пропускает и везде, на DROp не реагирует.
При одного единственного правила src 192.168.0.0/24 DROP dst 0.0.0.0/0, нон все равно разрешаем все из сети 192.168.0.0 везде гулять!
-
kreiz
- Сообщения: 18
- Зарегистрирован: 31 авг 2017, 05:28
Зачем нужен forward
за тем, чтобы его запретить
nero85 писал(а): src 192.168.0.0/24 DROP dst 0.0.0.0/0
так а в какой цепочке же?
А вообще - покажите
Код: Выделить всё
ip firewall filter print-
Vlad-2
- Модератор
- Сообщения: 2527
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
nero85 писал(а):Хочу запретить компу выход в интернет а второму разрешить!
С разных бриджей
Уточните:
Нужен НАТ с разных бриджей ИЛИ пользователи приходят в роутер с разных бриджей, но НАТ нужен с одного адреса?!
2) если приходят с разных бриджей, то не важно.
Делаете правило-НАТ, но не настоящее, а заглушку с action=accept, в котором
помещаете адрес-лист LNAT-DENY, и в этом адрес-листе помещать
будете компы(айпи конечно) которые не желательны давать Интернет.
После этого правила уже идёт обычное правило (обобщённое) на NAT
1) Если надо НАТить с разных бриджей, то сделать то что в пункте 2, только
два правила (заглушку и нат обычный) для обного бриджа,
ну и также для второго бриджа.
Пока как-то так в целом идеология с моей стороны видеться...
-
nero85
- Сообщения: 15
- Зарегистрирован: 17 июн 2017, 06:29
Спасибо большое, вот теперь есть куда копать