Russian Users MikroTik | Форум пользователей MikroTik

Форум поддержи и обмена опытом пользователей оборудования RouterBOARD и операционной системы RouterOS Латвийского производителя MikroTik
https://forummikrotik.ru/

Фильтрация пакетов внутри bridge

https://forummikrotik.ru/viewtopic.php?t=12963

Страница 1 из 1

Фильтрация пакетов внутри bridge

Добавлено: 14 июл 2021, 10:51
easpnz
Добрый день, прошу помочь - столкнулся с проблемой, что внутри сети нужно фильтровать определенные порты с определенных хостов, второй час мучаю и обычный ip firewall и bridge filters, ничего не получается, такое ощущение, что микрот вообще полностью игнорит эти правила.

/interface bridge filter
add action=drop chain=forward dst-address=192.168.1.51/32 dst-port=1540-1591 \
ip-protocol=tcp mac-protocol=ip src-address=192.168.1.55/32
add action=drop chain=forward dst-address=192.168.1.51/32 dst-port=1540-1591 \
ip-protocol=tcp mac-protocol=ip src-address=192.168.1.53/32
add action=drop chain=output dst-address=192.168.1.51/32 dst-port=5201 \
ip-protocol=tcp mac-protocol=ip src-address=192.168.1.112/32

Задача такая с адресов 192.168.1.55,192.168.1.53 запретить доступ к 192.168.1.51 на порты 1540-1591, и с 192.168.1.112 на 192.168.1.51:5201.
Пробовал и включать use ip-firewall и настраивать аналогичные правила в ip firewall - результата нет. Очень прошу помощи.

Re: Фильтрация пакетов внутри bridge

Добавлено: 14 июл 2021, 10:56
gmx
Чтобы это все работало, нужно чтобы хосты 192.168.1.55,192.168.1.53 и 192.168.1.51 были включены непосредственно в микротик. Физически в порты микротика. Тогда, фильтр на бридже будет работать. Во всех остальных случаях, хосты при передачи пакетов внутри одной подсети не обращаются к шлюзу.

В вашем случае, более правильно, обратиться к возможностям фаерволла на каждом хосте.

Re: Фильтрация пакетов внутри bridge

Добавлено: 14 июл 2021, 11:00
easpnz
gmx писал(а): 14 июл 2021, 10:56 Чтобы это все работало, нужно чтобы хосты 192.168.1.55,192.168.1.53 и 192.168.1.51 были включены непосредственно в микротик. Физически в порты микротика. Тогда, фильтр на бридже будет работать. Во всех остальных случаях, хосты при передачи пакетов внутри одной подсети не обращаются к шлюзу.

В вашем случае, более правильно, обратиться к возможностям фаерволла на каждом хосте.
ну этот шлюз является центральным коммутатором и 192.168.1.51 включен непосредственно в него, т.е. трафик к адресу назначения идет гарантировано через этот bridge... но фильтровать эти порты небходимо только для пары адресов.

Re: Фильтрация пакетов внутри bridge

Добавлено: 14 июл 2021, 11:01
xvo
Ну и ещё не забыть hw-offloading на портах отключить, между которыми собственно фильтровать хотите.

Re: Фильтрация пакетов внутри bridge

Добавлено: 14 июл 2021, 11:14
easpnz
xvo писал(а): 14 июл 2021, 11:01 Ну и ещё не забыть hw-offloading на портах отключить, между которыми собственно фильтровать хотите.
Спасибо большое! помогло
Часовой пояс: UTC+03:00
Страница 1 из 1

Создано на основе phpBB® Forum Software © phpBB Limited

Русская поддержка phpBB