Страница 1 из 1
Роутер на реагирует на политики Firewall
Добавлено: 31 авг 2017, 05:52
nero85
Добрый день,
Помогите разобраться, то ли глюк софта то ли меня!
Создано одно лишь правило Input-ICMP
Но разрешает любой исходящий трафик, даже если принудительно выставить DROP, все равно трафик гуляет!
Прошивка 6.40.2
Re: Роутер на реагирует на политики Firewall
Добавлено: 31 авг 2017, 06:38
kreiz
Давайте подробнее - что у вас там в фаерволе и чего вы хотите добиться?
Если у вас
Input-ICMP
единственное правило, то очевидно вы не получите того, что желаете.
Чтобы запретить исходящий трафик непосредственно с роутера вам нужна цепочка output
Re: Роутер на реагирует на политики Firewall
Добавлено: 31 авг 2017, 07:53
nero85
Хочу запретить компу выход в интернет а второму разрешить!
С разных бриджей
Re: Роутер на реагирует на политики Firewall
Добавлено: 31 авг 2017, 08:02
kreiz
В таком случае вам нужно forward
Почитайте в интернетах - там много и доступно.
Если в двух словах:
input - это все, что приходит на роутер и адресовано именно ему
output - это все, что роутерт отправляет непосредственно от своего лица
forward - это все, что проходит через роутер транзитом не важно в какую сторону
а вообще варианты разнообразны - вы можете настроить маскарадинг только на один порт- остальные в интернет уже не попадут.
Re: Роутер на реагирует на политики Firewall
Добавлено: 31 авг 2017, 08:31
nero85
Согласен что разнообразны
Он на правила не реагирует,
Зачем нужен forward, если он без него все пропускает и везде, на DROp не реагирует.
При одного единственного правила src 192.168.0.0/24 DROP dst 0.0.0.0/0, нон все равно разрешаем все из сети 192.168.0.0 везде гулять!
Re: Роутер на реагирует на политики Firewall
Добавлено: 31 авг 2017, 08:41
kreiz
Зачем нужен forward
за тем, чтобы его запретить
nero85 писал(а): src 192.168.0.0/24 DROP dst 0.0.0.0/0
так а в какой цепочке же?
А вообще - покажите
Re: Роутер на реагирует на политики Firewall
Добавлено: 31 авг 2017, 10:53
Vlad-2
nero85 писал(а):Хочу запретить компу выход в интернет а второму разрешить!
С разных бриджей
Уточните:Нужен НАТ с разных бриджей ИЛИ пользователи приходят в роутер с разных бриджей, но НАТ нужен с одного адреса?!
2) если приходят с разных бриджей, то не важно.
Делаете правило-НАТ, но не настоящее, а заглушку с action=accept, в котором
помещаете адрес-лист LNAT-DENY, и в этом адрес-листе помещать
будете компы(айпи конечно) которые не желательны давать Интернет.
После этого правила уже идёт обычное правило (обобщённое) на NAT
1) Если надо НАТить с разных бриджей, то сделать то что в пункте 2, только
два правила (заглушку и нат обычный) для обного бриджа,
ну и также для второго бриджа.
Пока как-то так в целом идеология с моей стороны видеться...
Re: Роутер на реагирует на политики Firewall
Добавлено: 31 авг 2017, 11:34
nero85
Спасибо большое, вот теперь есть куда копать