Страница 2 из 3
Re: bridge+фильтрация
Добавлено: 29 мар 2017, 14:02
gmx
iwc1 писал(а):Вы предлагаете создать бридж между ван1 и каким-нибудь свободным эзернет портом?
Ну конечно, я как-то наверное не внятно описал, конечно с любым другим свободным портом, который не смотрит в сторону локальной сети.
Да, кстати, а IP6 вы не используете??? Правила bridge filter не работают с IP6 адресами.
Re: bridge+фильтрация
Добавлено: 29 мар 2017, 14:15
iwc1
И все-таки главный вопрос:
зачем и всегда ли надо назначать адрес бриджу, если он работает прозрачно?
Re: bridge+фильтрация
Добавлено: 29 мар 2017, 14:38
Vlad-2
iwc1 писал(а):И все-таки главный вопрос:
зачем и всегда ли надо назначать адрес бриджу, если он работает прозрачно?
если вам просто надо принять трафик и отправить далее - адрес бриджу не нужен, аля неуправляемый свитч ТОЛЬКО
если вам надо сделать вышеописанное, но ещё и делать исходящие запросы, то адрес на бридж ставиться и он превращается
в обычный интерфейс со всеми правами и правилами которые есть для любого IP-интерфейса.
Re: bridge+фильтрация
Добавлено: 29 мар 2017, 15:04
iwc1
Благодарю
Re: bridge+фильтрация
Добавлено: 29 мар 2017, 15:07
podarok66
Если он не даст адрес бриджу, каким образом он перенаправит трафик за NAT в локалку? Как это разрулить без адреса?
Re: bridge+фильтрация
Добавлено: 29 мар 2017, 15:10
Vlad-2
podarok66 писал(а):Если он не даст адрес бриджу, каким образом он перенаправит трафик за NAT в локалку? Как это разрулить без адреса?
я согласен, но я ему описал какой может быть бридж, если тупо два порта сбридживать - без адреса просто и сердито,
а если НАТ, и так далее, то конечно адресация, правила и вперёд....
Я думаю я описал просто, и так чтобы было понятно, а уже ТС пусть решает...
но лично мне кажется - как-то у ТС всё сложно....
Re: bridge+фильтрация
Добавлено: 29 мар 2017, 15:19
podarok66
Всё верно описал, возможно ТС что-то и вынесет из разговора. Я ему тоже абсолютно рабочую схему описывал, у самого есть подобный вариант в работе. Только вместо хоста, отдельный сервак наружу без доступа в локалку. И то лишь потому, что у меня к серваку доступа нет никакого. А без правок сетевых настроек сервера как построить общение его с локалкой я не представляю...
Re: bridge+фильтрация
Добавлено: 29 мар 2017, 20:04
iwc1
Благодарю всех за комментарии.
Есть еще один подобный вопрос: заработает ли такая схема?
PC----Mikrotik (bridge)-----dsl модем в режиме бриджа.
Сейчас эта схема работает без микротика: dsl в бридже, pppoe создается на PC.
Цель - обеспечить фильтрацию. Перевести модем в route и настроить фильтрацию на нем - не представляется возможным.
Теоретически должно заработать. Но может есть какие-то нюансы..?
Re: bridge+фильтрация
Добавлено: 29 мар 2017, 20:13
gmx
Прекрасно работает...
Re: bridge+фильтрация
Добавлено: 29 мар 2017, 20:15
podarok66
Если честно, мало кто пользуется фильтрами в бриджах, поэтому у всех такие сомнения. Но, предполагаю, что все должно заработать без каких-то особых проблем.
У меня возникает вопрос, что вы хотите фильтровать на Микротике? И что там на вашем хосте за система? Может целесообразнее будет использовать фильтрацию на самом устройстве, выступающем в качестве хоста? Если там стоит Линукс, то эти оси имеют очень мощный и гибкий фаерволл, в чем-то превосходящий Микротиковский.
У самого есть в работе схема типа:
Код: Выделить всё
интернет --------Тик(бридж с внешним адресом)--------Сервер(второй внешний адрес)
|
|
Локалка за NAT(с сервером не общается)