Роутер на реагирует на политики Firewall

Обсуждение ПО и его настройки
Ответить
nero85
Сообщения: 15
Зарегистрирован: 17 июн 2017, 06:29

Добрый день,
Помогите разобраться, то ли глюк софта то ли меня!
Создано одно лишь правило Input-ICMP
Но разрешает любой исходящий трафик, даже если принудительно выставить DROP, все равно трафик гуляет!

Прошивка 6.40.2


Аватара пользователя
kreiz
Сообщения: 18
Зарегистрирован: 31 авг 2017, 05:28

Давайте подробнее - что у вас там в фаерволе и чего вы хотите добиться?

Если у вас
Input-ICMP
единственное правило, то очевидно вы не получите того, что желаете.
Чтобы запретить исходящий трафик непосредственно с роутера вам нужна цепочка output


nero85
Сообщения: 15
Зарегистрирован: 17 июн 2017, 06:29

Хочу запретить компу выход в интернет а второму разрешить!
С разных бриджей


Аватара пользователя
kreiz
Сообщения: 18
Зарегистрирован: 31 авг 2017, 05:28

В таком случае вам нужно forward
Почитайте в интернетах - там много и доступно.
Если в двух словах:
input - это все, что приходит на роутер и адресовано именно ему
output - это все, что роутерт отправляет непосредственно от своего лица
forward - это все, что проходит через роутер транзитом не важно в какую сторону

а вообще варианты разнообразны - вы можете настроить маскарадинг только на один порт- остальные в интернет уже не попадут.


nero85
Сообщения: 15
Зарегистрирован: 17 июн 2017, 06:29

Согласен что разнообразны
Он на правила не реагирует,
Зачем нужен forward, если он без него все пропускает и везде, на DROp не реагирует.
При одного единственного правила src 192.168.0.0/24 DROP dst 0.0.0.0/0, нон все равно разрешаем все из сети 192.168.0.0 везде гулять!


Аватара пользователя
kreiz
Сообщения: 18
Зарегистрирован: 31 авг 2017, 05:28

Зачем нужен forward

за тем, чтобы его запретить

nero85 писал(а): src 192.168.0.0/24 DROP dst 0.0.0.0/0

так а в какой цепочке же?

А вообще - покажите

Код: Выделить всё

ip firewall filter print


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

nero85 писал(а):Хочу запретить компу выход в интернет а второму разрешить!
С разных бриджей

Уточните:
Нужен НАТ с разных бриджей ИЛИ пользователи приходят в роутер с разных бриджей, но НАТ нужен с одного адреса?!

2) если приходят с разных бриджей, то не важно.
Делаете правило-НАТ, но не настоящее, а заглушку с action=accept, в котором
помещаете адрес-лист LNAT-DENY, и в этом адрес-листе помещать
будете компы(айпи конечно) которые не желательны давать Интернет.
После этого правила уже идёт обычное правило (обобщённое) на NAT

1) Если надо НАТить с разных бриджей, то сделать то что в пункте 2, только
два правила (заглушку и нат обычный) для обного бриджа,
ну и также для второго бриджа.

Пока как-то так в целом идеология с моей стороны видеться...



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
nero85
Сообщения: 15
Зарегистрирован: 17 июн 2017, 06:29

Спасибо большое, вот теперь есть куда копать


Ответить