Здравствуйте объясните начинающему разбираться с фаерволом микротика.
Есть интерфейс eth1 на него от провайдера приходят два вилана (интернет и впн), добавляю два вилан-интерфейса, а теперь вопрос, стандартные правила input фаервола вешать только на вилан-интерфейсы или на eth1 тоже? С правилами по dstnat такой же вопрос.
Проясните по виланам
-
iSupport
- Сообщения: 2360
- Зарегистрирован: 06 фев 2011, 20:44
распишите вопрос подробнее - а то ничего не понятно
Граждане, сколько раз просил =) чем понятнее и точнее сформулирован вопрос - тем понятнее и точнее будет на него ответ.
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь
-
simpl3x
- Модератор
- Сообщения: 1532
- Зарегистрирован: 19 апр 2012, 14:03
правила фаервола применяются ко всем интерфейсам, если в правилах фаервола не указано уточнения к какому интерфейсу он применим. посмотрите внимательно на то как формирубтся правила, увидете там кучу параметров, в том числе и интерфейсы, сразу отпадут вопросы.
-
rusmur
- Сообщения: 7
- Зарегистрирован: 02 ноя 2011, 11:23
1)Есть интерфейс eth1 в него вставлена витуха от провайдера, провайдер дает мне в этом канале два вилана: 156 интернет и 456 vpn, в микротик я создаю два вилан-интерфейса на eth1. Мне нужно защитить фаерволом и впн и интернет. Я создаю правила input для интерфейсов 156 и 456.
А для eth1 мне нужно создавать такие правила?
2)Нужно сделать проброс портов из интернета я делаю правило dstnat для интерфейса 156, А для eth1 мне нужно создавать такое правило?
А для eth1 мне нужно создавать такие правила?
2)Нужно сделать проброс портов из интернета я делаю правило dstnat для интерфейса 156, А для eth1 мне нужно создавать такое правило?
-
rusmur
- Сообщения: 7
- Зарегистрирован: 02 ноя 2011, 11:23
simpl3x
так в том и дело что для правил я указываю входные вилан-интерфесы,
а для интерфейса eth1 по которому приходят эти виланы мне нужно создавать такие правила???
так в том и дело что для правил я указываю входные вилан-интерфесы,
а для интерфейса eth1 по которому приходят эти виланы мне нужно создавать такие правила???
-
simpl3x
- Модератор
- Сообщения: 1532
- Зарегистрирован: 19 апр 2012, 14:03
нет, если у вас фильтруемы трафик передается только в пределах какого то vlan'a, то правила должны быть либо глобальные, без указания интерфейсов, либо с указанием этого vlan. и то и другое не нужно, тем более указывать в правиле родительский интерфейс бессмысленно, так как по факту трафика там нет.
-
iSupport
- Сообщения: 2360
- Зарегистрирован: 06 фев 2011, 20:44
Давайте ссразу определимсяЮ VLANы лучше называть
VLAN_*id*_*описание*
Например VLAN_156_INET, а то потом запутаетесь откуда ноги растут
Далее, если у провайдера в вашу сторону нет default Vlan (то есть влана Антагом в вашу сторону) то настраивать на ETH1 ничего не надо.
У микротика есть понятие интерфейс, и все правила применимы именно к интерфейсу. Какой он, филический ethernet, VLAN, Wi-Fi и т.д. - микротику без разницы
VLAN_*id*_*описание*
Например VLAN_156_INET, а то потом запутаетесь откуда ноги растут
Далее, если у провайдера в вашу сторону нет default Vlan (то есть влана Антагом в вашу сторону) то настраивать на ETH1 ничего не надо.
У микротика есть понятие интерфейс, и все правила применимы именно к интерфейсу. Какой он, филический ethernet, VLAN, Wi-Fi и т.д. - микротику без разницы
Граждане, сколько раз просил =) чем понятнее и точнее сформулирован вопрос - тем понятнее и точнее будет на него ответ.
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь