Jump to content
  • 0

Филтър на трафик от bridge


ziigmund

Въпрос

Здравейте! Имам един hAp lite, на който съм сетнал всички ланове в бридж и искам да приложа правило за дроп на определен порт излизащ от въпросния бридж. Възможно ли е без нат? Мислех ,че е достатъчно да задам "use ip firewall" в настройките на бриджа, но явно не е така. Филтър в бридж не ми върши работа, защото немога да определям портовете там. Ще съм много благодарен ако някой ми помогне да реша този проблем.

Адрес на коментара
Сподели в други сайтове

  • Отговори 38
  • Created
  • Последен отговор

Top Posters For This Question

  • ziigmund

    16

  • 111111

    12

  • JohnTRIVOLTA

    10

  • B13Bs

    1

Top Posters For This Question

Recommended Posts

  • 0
  • Администратор

При мен се получава 

/ip firewall raw
add action=drop chain=prerouting dst-port=1234 protocol=udp

/ip firewall raw print stats
Flags: X - disabled, I - invalid, D - dynamic 
 #    CHAIN                                  ACTION                            BYTES         PACKETS
 0  D ;;; special dummy rule to show fasttrack counters
      prerouting                             passthrough              28 446 346 274      21 528 705
 1    prerouting                             drop                      1 752 072 000       1 303 625
[admin@HALL] /ip firewall raw> 


 

Харесай поста ^^^
acer.gif htc.gifsigpic4024_2.gif

Форумът е за взаимопомощ а не за свършване на чужда работа


ɹɐǝɥ uɐɔ noʎ ǝɹoɯ ǝɥʇ 'ǝɯoɔǝq noʎ ɹǝʇǝınb ǝɥʇ

Адрес на коментара
Сподели в други сайтове

  • 0

С същата версия на фърмуера ли ? И същата ли е постановката, всички портове в бридж, а гейта е рутер след бриджа?

Редактирано от ziigmund
Адрес на коментара
Сподели в други сайтове

  • 0
  • Администратор
Преди 2 часа, ziigmund написа:

С същата версия на фърмуера ли ? И същата ли е постановката, всички портове в бридж, а гейта е рутер след бриджа?

Ползвай филтъра на бриджа. Там имаш и изходящи и входящи интерфейси !

Понеже гледам и в официалният сайт пишеш и си пробвал уж, гледай да не бъркаш Firewall Filter с Bridge Filter

 

Редактирано от JohnTRIVOLTA
Адрес на коментара
Сподели в други сайтове

  • 0
  • Администратор
Just now, ziigmund написа:

Пробвах още вчера, пак не влиза нищо и в тоя филтър. Почвам да си мисля че е от фърмуера нещо....

Да не бъркаш нещо !? Ти кажи какво точно искаш .

Адрес на коментара
Сподели в други сайтове

  • 0

Искам да блокирам заявки към конкретен порт, в случая 21. Без значение дали правя входящо или изходящо правило нищо не се случва.......

 

Топологията е както слведа :

Има един входящ рутер (пак микротик), който има вътрешна мрежа 192.168.55.0/24 . В тая мрежа има устройства изведени на вън с НАТ, чийто трафик към порт 21 искам да огранича и затова се опитах като на един hAp lite, добавя всички портове в бридж и го сложа между устройствата и първия рутер, но нещо ударих на камък.

Редактирано от ziigmund
Адрес на коментара
Сподели в други сайтове

  • 0
  • Администратор
преди 10 минути, ziigmund написа:

Искам да блокирам заявки към конкретен порт, в случая 21. Без значение дали правя входящо или изходящо правило нищо не се случва.......

/interface bridge filter add action=drop chain=forward dst-address=0.0.0.0/0 dst-port=21 in-interface=ether2 ip-protocol=tcp mac-protocol=ip 

Замести правилният порт на болднатият ин интерфейс както трябва да е при теб ... ако искаш и към рутера да блокираш заявките добави едно правило и с chain=input

Ако искаш въобще да блокираш порта независимо от кой бриджпорт в бриджа то премахни ин интерфейса

Редактирано от JohnTRIVOLTA
Адрес на коментара
Сподели в други сайтове

  • 0
  • Администратор

Това в междинният рутер ли го правиш .. ползваш ли фасттрак ?

Как пробваш това не става, заявката на 21 към публичен адрес ли е, към рутера ти ли

/interface bridge filter add action=drop chain=forward dst-address=0.0.0.0/0 dst-port=21 mac-protocol=ip

само така пробвай

Постни да видим - interface bridge filter print detail 

Редактирано от JohnTRIVOLTA
Адрес на коментара
Сподели в други сайтове

  • 0

пробвах, същия резултат. И без специфичен порт пробвах за целия трафик пак не ще. Да в междинния, който е бридж, защото нямам достъп до другия

Адрес на коментара
Сподели в други сайтове

  • 0
 0   chain=forward action=drop mac-protocol=ip dst-address=0.0.0.0/0 dst-port=21 
     ip-protocol=tcp log=no log-prefix="" 

Eто и експорт с настройките на бриджа.

 0 R name="bridge1" mtu=auto actual-mtu=1500 l2mtu=1598 arp=enabled 
     arp-timeout=auto mac-address=B8:69:F4:0C:05:11 protocol-mode=none 
     fast-forward=no igmp-snooping=no auto-mac=yes ageing-time=5m 
     vlan-filtering=no 

 

Адрес на коментара
Сподели в други сайтове

  • 0
  • Администратор
преди 2 минути, ziigmund написа:

 0   chain=forward action=drop mac-protocol=ip dst-address=0.0.0.0/0 dst-port=21 
     ip-protocol=tcp log=no log-prefix="" 

Eто и експорт с настройките на бриджа.


 0 R name="bridge1" mtu=auto actual-mtu=1500 l2mtu=1598 arp=enabled 
     arp-timeout=auto mac-address=B8:69:F4:0C:05:11 protocol-mode=none 
     fast-forward=no igmp-snooping=no auto-mac=yes ageing-time=5m 
     vlan-filtering=no 

 

Ползваш ли fasttrack connection във firewall filter ?

Адрес на коментара
Сподели в други сайтове

  • 0
  • Администратор

Махни чавките за хардуерен офлоуд на портовете и правилото ще заработи - най вероятно са чекнати!

Адрес на коментара
Сподели в други сайтове

Създайте нов акаунт или се впишете, за да коментирате

За да коментирате, трябва да имате регистрация

Създайте акаунт

Присъединете се към нашата общност. Регистрацията става бързо!

Регистрация на нов акаунт

Вход

Имате акаунт? Впишете се оттук.

Вписване
  • Потребители разглеждащи страницата   0 потребители

    • No registered users viewing this page.

×
×
  • Създай нов...

Important Information

By using this site, you agree to our Terms of Use.