День добрый.
Помогите пожалуйста разобраться. Есть RB2011uas Порты eth1-eth5 в бридже. В eth5 подкл. устройство с адресом 192.168.10.82. необходимо заблокировать на интерфейсе eth5 любой трафик(кроме icmp на устройство 10.82) Адрес 192.168.10.82 может меняться. Вот скрин как я пробовал, настроить правила в ip\firewall:
Правила 0 и 1 прекрасно работают, но как выше сказано адрес может меняться. Вопрос почему не отрабатывают правила 2 и 3 или чего-то не хватает?
Запретить трафик на порту
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
-
- Модератор
- Сообщения: 3605
- Зарегистрирован: 26 сен 2013, 14:20
- Откуда: НСК
- Контактная информация:
-
- Сообщения: 0
- Зарегистрирован: 07 апр 2016, 10:36
Пробовал выбирать chain - forward в правите 2 и 3 - результат тот же трафик все-равно идет =(
-
- Модератор
- Сообщения: 3605
- Зарегистрирован: 26 сен 2013, 14:20
- Откуда: НСК
- Контактная информация:
Ну попробуем дальше погадать
/interface bridge settings set use-ip-firewall=yes
/interface bridge settings set use-ip-firewall=yes
Есть интересная задача и бюджет? http://mikrotik.site
-
- Сообщения: 0
- Зарегистрирован: 07 апр 2016, 10:36
-
- Модератор
- Сообщения: 3605
- Зарегистрирован: 26 сен 2013, 14:20
- Откуда: НСК
- Контактная информация:
хм, оказывается по интерфейсам так не работает.
Сделайте фильтр тут /interface bridge filter
Сделайте фильтр тут /interface bridge filter
Есть интересная задача и бюджет? http://mikrotik.site
-
- Сообщения: 0
- Зарегистрирован: 07 апр 2016, 10:36
vqd писал(а):хм, оказывается по интерфейсам так не работает.
Сделайте фильтр тут /interface bridge filter
Спасибо, трафик блокируется.
/interface bridge filter
add action=drop chain=forward out-interface=ether5
add action=drop chain=forward in-interface=ether5
Остался мелкий вопрос как исключить из блокировки icmp? В разделе Bridge\Filters Во вкладке general-ip поля "src.port","dst.port" и "protocol" не активны.
-
- Модератор
- Сообщения: 3605
- Зарегистрирован: 26 сен 2013, 14:20
- Откуда: НСК
- Контактная информация:
/interface bridge filter
add chain=forward ip-protocol=icmp mac-protocol=ip
и перед дропами
add chain=forward ip-protocol=icmp mac-protocol=ip
и перед дропами
Есть интересная задача и бюджет? http://mikrotik.site
-
- Сообщения: 0
- Зарегистрирован: 07 апр 2016, 10:36
/interface bridge filter
add chain=forward ip-protocol=icmp mac-protocol=ip
add action=drop chain=forward out-interface=ether5
add action=drop chain=forward in-interface=ether5
Странно. Устройство с адресом 192.168.10.82 не пингуется, ответ:
HOST SIZE TTL TIME STATUS
192.168.10.82 timeout
192.168.10.68 84 64 215ms host unreachable
192.168.10.82 timeout
192.168.10.82 timeout
Кажется чего-то не хватает .
add chain=forward ip-protocol=icmp mac-protocol=ip
add action=drop chain=forward out-interface=ether5
add action=drop chain=forward in-interface=ether5
Странно. Устройство с адресом 192.168.10.82 не пингуется, ответ:
HOST SIZE TTL TIME STATUS
192.168.10.82 timeout
192.168.10.68 84 64 215ms host unreachable
192.168.10.82 timeout
192.168.10.82 timeout
Кажется чего-то не хватает .
-
- Модератор
- Сообщения: 3605
- Зарегистрирован: 26 сен 2013, 14:20
- Откуда: НСК
- Контактная информация:
а галочку то сняли ?
/interface bridge settings set use-ip-firewall=yes
/interface bridge settings set use-ip-firewall=yes
Есть интересная задача и бюджет? http://mikrotik.site