Правила FW для LAN интерфейса

Обсуждение ПО и его настройки
Ответить
olhovik
Сообщения: 30
Зарегистрирован: 21 фев 2012, 12:00

Hi
Ether1 - провайдерский линк
Ether2 - локалка
Мне нужно сделать правило, которое бы блокировало доступ всех клиентов за ether2 (локалка) к роутеру, но разрешить трафик через ether2 на ether1(маскардинг) далее в инет :)
Но гложет меня сомнение, на счёт вот этого правила chain=input action=drop in-interface=ether2
Подскажите, знающие люди, это правило блокирует пакеты, которые имеют своим назначением ether2 и совсем не затрагивают пакеты, которые идут транзитом через ether2 на ether1 по правилам маскардинга? Попробовать будет несколько проблематично:)


alex_bratsk
Сообщения: 36
Зарегистрирован: 27 авг 2012, 17:38

доступ всех клиентов за ether2 (локалка) к роутеру это правило input
разрешить трафик через ether2 на ether1(маскардинг) это правило forward и masquerade.
значит input=drop forward=accept и т.д.


olhovik
Сообщения: 30
Зарегистрирован: 21 фев 2012, 12:00

alex_bratsk писал(а):доступ всех клиентов за ether2 (локалка) к роутеру это правило input
разрешить трафик через ether2 на ether1(маскардинг) это правило forward и masquerade.
значит input=drop forward=accept и т.д.


Сегодня дошли руки проверить. Всё работает как я настраивал, кроме доступа НА ether2.
Мне надо запретить любой доступ К РОУТЕРУ через ether2, но правило input, к сожалению, действует и на трафик через.
Вот помню у dlink, кажется, есть такая сущность как core, и к ней можно трафик блокировать.
Может и у МТ что то такое есть?
Понятно, что можно блокировать порты и винбокса и телнета и вэбфига. Я то собсно так и сделал :), но может есть более красивый варинт?


iSupport
Сообщения: 2359
Зарегистрирован: 06 фев 2011, 20:44

tools - mac server

посмотрите


Граждане, сколько раз просил =) чем понятнее и точнее сформулирован вопрос - тем понятнее и точнее будет на него ответ.
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь
Ответить