Проясните по виланам

Обсуждение оборудования и его настройки
Ответить
rusmur
Сообщения: 7
Зарегистрирован: 02 ноя 2011, 11:23

Здравствуйте объясните начинающему разбираться с фаерволом микротика.
Есть интерфейс eth1 на него от провайдера приходят два вилана (интернет и впн), добавляю два вилан-интерфейса, а теперь вопрос, стандартные правила input фаервола вешать только на вилан-интерфейсы или на eth1 тоже? С правилами по dstnat такой же вопрос.


iSupport
Сообщения: 2359
Зарегистрирован: 06 фев 2011, 20:44

распишите вопрос подробнее - а то ничего не понятно


Граждане, сколько раз просил =) чем понятнее и точнее сформулирован вопрос - тем понятнее и точнее будет на него ответ.
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь
Аватара пользователя
simpl3x
Модератор
Сообщения: 1532
Зарегистрирован: 19 апр 2012, 14:03

правила фаервола применяются ко всем интерфейсам, если в правилах фаервола не указано уточнения к какому интерфейсу он применим. посмотрите внимательно на то как формирубтся правила, увидете там кучу параметров, в том числе и интерфейсы, сразу отпадут вопросы.


rusmur
Сообщения: 7
Зарегистрирован: 02 ноя 2011, 11:23

1)Есть интерфейс eth1 в него вставлена витуха от провайдера, провайдер дает мне в этом канале два вилана: 156 интернет и 456 vpn, в микротик я создаю два вилан-интерфейса на eth1. Мне нужно защитить фаерволом и впн и интернет. Я создаю правила input для интерфейсов 156 и 456.
А для eth1 мне нужно создавать такие правила?

2)Нужно сделать проброс портов из интернета я делаю правило dstnat для интерфейса 156, А для eth1 мне нужно создавать такое правило?


rusmur
Сообщения: 7
Зарегистрирован: 02 ноя 2011, 11:23

simpl3x
так в том и дело что для правил я указываю входные вилан-интерфесы,
а для интерфейса eth1 по которому приходят эти виланы мне нужно создавать такие правила???


Аватара пользователя
simpl3x
Модератор
Сообщения: 1532
Зарегистрирован: 19 апр 2012, 14:03

нет, если у вас фильтруемы трафик передается только в пределах какого то vlan'a, то правила должны быть либо глобальные, без указания интерфейсов, либо с указанием этого vlan. и то и другое не нужно, тем более указывать в правиле родительский интерфейс бессмысленно, так как по факту трафика там нет.


iSupport
Сообщения: 2359
Зарегистрирован: 06 фев 2011, 20:44

Давайте ссразу определимсяЮ VLANы лучше называть

VLAN_*id*_*описание*

Например VLAN_156_INET, а то потом запутаетесь откуда ноги растут

Далее, если у провайдера в вашу сторону нет default Vlan (то есть влана Антагом в вашу сторону) то настраивать на ETH1 ничего не надо.

У микротика есть понятие интерфейс, и все правила применимы именно к интерфейсу. Какой он, филический ethernet, VLAN, Wi-Fi и т.д. - микротику без разницы


Граждане, сколько раз просил =) чем понятнее и точнее сформулирован вопрос - тем понятнее и точнее будет на него ответ.
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь
Ответить