Нетипичная задача на микротике.

Обсуждение ПО и его настройки
Ответить
Alexandrovav
Сообщения: 20
Зарегистрирован: 08 мар 2014, 13:20

Добрый день.
Есть микротик 750gl. Две сети 192.168.21.x/24 и 192.168.68.0/24. Сети и связь между сетями организованы так. Все компы сети 21.x подключены к коммутатору cisco 2960. Далее одним проводом cisco 2960 подключен к микротик 750gl (второй порт на микротике). Микротик подключен к маршрутизатору провайдера (первый порт на микротике). Все 5 портов микротика объединены в bridge. ip адрес микротика 192.168.21.100 (задан на бридже). Микротик служит ка dhcp relay к dhcp серверу 192.168.68.110. Никакой маршрутизации микротик не выполняет. Просто пропускает через себя трафик. Шлюзом у всех компов прописан роутер провайдера 192.168.21.19. Задача как-то фильтровать трафик на микротике по ip адресам отправителя\получателя. Когда я делаю правило в firewall 192.168.21.70---->192.168.68.11 drop оно не работает. И вообще не одно правило цепочки forward в firewall не работает. Пробовал настроить filer в меню настройки bridge. Тоже правила forward не работают. Если в правиле указываю source 192.168.21.70 вижу прибавление пакетов в счетчике ,как только указываю destination 192.168.68.11 счетчик пакетов не прибавляется. Как в такой схеме подключения организовать фильтрацию трафика на микротике?


vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

use-ip-firewall в настройках бриджа и разруливайте все как хотите. Задача типичная.


Есть интересная задача и бюджет? http://mikrotik.site
Alexandrovav
Сообщения: 20
Зарегистрирован: 08 мар 2014, 13:20

В настройке бриджа галочка стоит и правила не работают.
Сделал самые верхние правила
add action=accept chain=forward

потом

add action=drop chain=forward

и по первому правилу трафика нет, счетчики по нулям.


Alexandrovav
Сообщения: 20
Зарегистрирован: 08 мар 2014, 13:20

Спасибо!
Всё заработало как надо!
Всем спасибо что помогали.
Я пересоздал bridge и всё заработало. Дело в том что перед этой задачей я обновил прошивку микротика. До этого стояла старая где ещё использовался swith-group. При обновлении прошивки switch-group был преобразован в bridge и видимо не совсем корректно. Создал свой bdridge и всё заработало!


Ответить