bridge+фильтрация

Обсуждение ПО и его настройки
iwc1
Сообщения: 8
Зарегистрирован: 28 мар 2017, 12:54

Коллеги, приветствую.
Ситуация следующая:
есть микротик с wan ip 1.1.1.2, есть хост, подключенный параллельно микротику, с адресом 1.1.1.3, шлюз по умолчанию 1.1.1.1, своя подсеть 1.1.1.0/29
Встала задача убрать хост за фаервол с сохранением белого ip.
Насколько я понимаю, для этого можно использовать bridge:
создаю bridge, связываю с ним 2 ethernet порта, назначаю бриджу ip.
Первый вопрос: какой адрес назначить бриджу?
Это может быть левый адрес из частного диапазона, например, 10.1.1.1, или это должен быть адрес из пула 1.1.1.0/29, или вообще адрес wan интерфейса?
Второй вопрос по фильтрации входящих по ip: есть 2 варианта - bridge filters (с включенной опцией use ip firewall) и ip firewall. Какой правильнее использовать?


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

Вы немного торопитесь....

1. Бриджу можно назначить несколько IP, хоть все, которые вам выдал провайдер. Все зависит от вашей задачи. Можно например, серверу в вашей локальной сети.

2. Вы чуть-чуть по-дольше посмотрите на возможности этих фильтров. И тогда все станет очень понятно. Возможности bridge filters более скудные, хотя они рассчитаны на другой уровень обработки. Это скорее 2-3 уровень OSI, там где правят бал MAC адреса, интерфейсы (не все, железные), VLAN и так далее. А в
ip firewall - вплоть до 7 уровня, во всеми возможностями и всеми интерфейсами. Опция use ip firewall позволяет применять правила ip firewall к бриджам и не имеет отношения к bridge filters.


iwc1
Сообщения: 8
Зарегистрирован: 28 мар 2017, 12:54

Задача простая: перенести хост за фаервол и обеспечить фильтрацию.

Зачем бриджу назначать несколько ip? одного достаточно, только вот какой назначить?
Почему вообще встал такой вопрос:
было испробовано несколько вариантов, но все заканчивались одним - односторонней связью.
Сначала повесил левый адрес из приватного диапазона - из инета на хост доступ есть, обратной связи нет.
Затем повесил свободный адрес из пула - та же ситуация.
Назначил бриджу адрес самого хоста - из инета доступа нет, зато в обратном направлении работает.
Куда копать?

По фильтрации - нужна фильтрация по входящему ip и не более. Она доступна как в bridge filters, так и в ip firewall, поэтому решил уточнить этот момент.
Т.е. я правильно понимаю, что можно включить use ip firewall и настраивать фильтрацию только в ip firewall?


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

Фильтрация в IP firewall по IP адресам хостов (подсетей) будет работать без всяких дополнительных галочек.

Есть предложение: поставьте перед микротиком тупой свитч. Заведите два кабеля в ваш Микротик. Назначьте каждому порту по одному IP, из тех, что выдал провайдер. И считайте, что у вас теперь ДВА провайдера. Настройте все, чтобы работало так, как вам надо. И только потом, с полным осознанием того, что вы делаете и для чего, выкидываете свитч.

Что касается односторонней связи. Помните, что ваше подключение, типа IPoE, а значит ВСЕ маршруты вам нужно писать самим. И в случае с двумя IP тем более, ведь следующим вопросом у вас будет: как сделать так, чтобы все компьютеры выходили в инет с IP 1.1.1.1, а вот сервер с IP 1.1.1.2????
Нельзя торопиться. Просто нельзя.

Ах да, совсем забыл, выключите ВСЕ правила фаерволла. Просто все, начисто. И только потом эксперименты.


iwc1
Сообщения: 8
Зарегистрирован: 28 мар 2017, 12:54

Хорошо, тогда хочу разобраться в понятиях
Я правильно понимаю, что bridge - это что-то типа коммутатора, а следовательно, работает прозрачно (по крайней мере так в мануале сказано)?
Если так, то какие тут могут быть маршруты? Хост с белым ip уходит за фаервол, который работает для него прозрачно, шлюзом для этого хоста остается ip провайдера.
Так вот, при прозрачной схеме надо ли вообще назначать ip бридж интерфейсу, он ведь все равно не участвует в маршрутизации?
Если надо, то какой для данного конкретного случая в прозрачном режиме

То, что вы предлагаете - через маршрутизацию, не подходит ввиду невозможности изменять ip настройки этого хоста


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

Есть простое предложение.

Сейчас у вас уже есть микротик и он работает. Есть хост, который тоже включен в кабель провайдера и он имеет свой IP.

Ничего не меняя в настройках, вы просто создаете бридж из двух портов на микротике. Ether, который WAN (скорее всего первый) и любой другой Ether порт и в него включаете тот самый отдельный хост. Ну а дальше начинаете фильтровать, кстати в такой схеме лучше и удобнее применим bridge filter.

Скажите пожалуйста, а для чего вы все делаете???


iwc1
Сообщения: 8
Зарегистрирован: 28 мар 2017, 12:54

не нашел в доках инфу по вашему предложению:
разве может интерфейс работать одновременно и в route/nat режиме и в bridge режиме?
Что-то мне подсказывает, что нет.

Для чего делаю? Для защиты от НСД. IP настройки этого хоста менять нет возможности, поэтому и посмотрел в сторону схемы bridge.
Если есть другие варианты реализации - буду рад услышать.


Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

Какой NAT? Вы же вроде как упомянули, что хост имеет белый адрес? Создали бридж для WAN+хост, второй бридж для интерфейсов, глядящих в локалку. На первый вешаете белый адрес. На хост прописываете свой белый адрес. На Локальный бридж прописываете адрес локалки. На хосте задаете маршруты до локалки, если нужны. Локалку прячете за NAT. В первом бридже начинаете прописывать правила для закрытия дыр к хосту. Как-то так...


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
iwc1
Сообщения: 8
Зарегистрирован: 28 мар 2017, 12:54

Обычный нат. Есть ван1 с адресом 1.1.1.2, через который пользователи ходят в инет, есть лан1 с ланНет, где сидят пользователи.
Есть хост, подключенный параллельно, с адресом 1.1.1.3.
Вы предлагаете создать бридж между ван1 и каким-нибудь свободным эзернет портом?
Поэтому я и спрашиваю, как может порт одновременно и route/nat и bridge быть?


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

ОК! Давайте сделаем чуть по другому.

Что касается nat и bridge и выше описанной мной схемы. В случае с IPoE очень даже может заработать (точно не заработает в случае с PPPoE, проверено). Если и у вас не заработает, то можно назначить IP провайдера бриджу.

Порт WAN и порт в сторону нужного хоста в бридж.
Назначаем бриджу два IP адреса: один от провайдера, второй ваш местный.
В правиле NAT явно указываем, какую подсеть натить.


Чем поможет бридж от НСД??? Вы будете вручную отлавливать китайских друзей??? Постепенно все эти правила, а их будет все больше и больше, "положат" даже самый мощный микротик. Правда если "белый список", то тогда конечно другое дело.


Ответить