Есть задача ограничить доступ в сеть по MAC-адресам. Т.е. сделать "белый список" - пускать только заранее заданные MAC-адреса.
В наличии CRS328-24P-4S+ RouterOS 6.46
Настроил стандартную схему вланы в бридже.
Код: Выделить всё
/interface bridge add name=bridge vlan-filtering=yes
/interface vlan add interface=bridge name=bridge.vlan401 vlan-id=401
/ip pool add name=pool-vlan401 ranges=192.168.1.225-192.168.1.250
/ip dhcp-server network add address=192.168.1.224/27 dns-server=192.168.1.254 gateway=192.168.1.254 netmask=27
/ip dhcp-server add address-pool=pool-vlan401 disabled=no interface=bridge.vlan401 lease-time=1w name=server401-dhcp
/interface bridge port add bridge=bridge hw=no interface=ether1 pvid=401
/interface bridge vlan add bridge=bridge tagged=bridge,ether24 untagged=ether1 vlan-ids=401
/ip address add address=192.168.1.254/27 interface=bridge.vlan401 network=192.168.1.224
Теперь пытаюсь запретить его трафик по MAC адресу в Bridge Filters
Код: Выделить всё
/interface bridge filter
add action=drop chain=forward in-interface=ether1 src-mac-address=03:27:13:B2:31:1F/FF:FF:FF:FF:FF:FF
add action=drop chain=forward dst-mac-address=03:27:13:B2:31:1F/FF:FF:FF:FF:FF:FF out-interface=ether1Делаю это же для всех MAC-адресов порта ether1.
Код: Выделить всё
/interface bridge filter
add action=drop chain=forward in-interface=ether1 src-mac-address=00:00:00:00:00:00/00:00:00:00:00:00
add action=drop chain=forward dst-mac-address=00:00:00:00:00:00/00:00:00:00:00:00 out-interface=ether1
Пробую сделать тоже самое для Vlan.
Код: Выделить всё
/interface bridge filter
add action=drop chain=forward in-interface=bridge.vlan401
add action=drop chain=forward out-interface=bridge.vlan401
Где у меня ошибка?
Почему не работает Bridge Filters?