Hi
Ether1 - провайдерский линк
Ether2 - локалка
Мне нужно сделать правило, которое бы блокировало доступ всех клиентов за ether2 (локалка) к роутеру, но разрешить трафик через ether2 на ether1(маскардинг) далее в инет
Но гложет меня сомнение, на счёт вот этого правила chain=input action=drop in-interface=ether2
Подскажите, знающие люди, это правило блокирует пакеты, которые имеют своим назначением ether2 и совсем не затрагивают пакеты, которые идут транзитом через ether2 на ether1 по правилам маскардинга? Попробовать будет несколько проблематично:)
Правила FW для LAN интерфейса
-
- Сообщения: 36
- Зарегистрирован: 27 авг 2012, 17:38
доступ всех клиентов за ether2 (локалка) к роутеру это правило input
разрешить трафик через ether2 на ether1(маскардинг) это правило forward и masquerade.
значит input=drop forward=accept и т.д.
разрешить трафик через ether2 на ether1(маскардинг) это правило forward и masquerade.
значит input=drop forward=accept и т.д.
-
- Сообщения: 30
- Зарегистрирован: 21 фев 2012, 12:00
alex_bratsk писал(а):доступ всех клиентов за ether2 (локалка) к роутеру это правило input
разрешить трафик через ether2 на ether1(маскардинг) это правило forward и masquerade.
значит input=drop forward=accept и т.д.
Сегодня дошли руки проверить. Всё работает как я настраивал, кроме доступа НА ether2.
Мне надо запретить любой доступ К РОУТЕРУ через ether2, но правило input, к сожалению, действует и на трафик через.
Вот помню у dlink, кажется, есть такая сущность как core, и к ней можно трафик блокировать.
Может и у МТ что то такое есть?
Понятно, что можно блокировать порты и винбокса и телнета и вэбфига. Я то собсно так и сделал , но может есть более красивый варинт?
-
- Сообщения: 2359
- Зарегистрирован: 06 фев 2011, 20:44
tools - mac server
посмотрите
посмотрите
Граждане, сколько раз просил =) чем понятнее и точнее сформулирован вопрос - тем понятнее и точнее будет на него ответ.
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь