IPB

Здравствуйте, гость ( Вход | Регистрация )

-->
 
Ответить в эту темуОткрыть новую тему
> MikroTik RouterOS (Firewall & NAT)
DarkRock87
сообщение 9.1.2014, 16:19
Сообщение #1


Новичок
*

Группа: Пользователи
Сообщений: 3
Регистрация: 9.1.2014
Пользователь №: 6 359



Возникла проблемы с непониманием настройки фаервола… Не понимаю как настроить фаервол, что бы определённому IP адресу или подсети разрешить выходить в определённую подсеть или интерфейс…
К примеру:
Использую RB2011UAS-2HnD-IN
WAN – port 10 (192.168.1.25/24)
Все остальные порты 1-9 объединены в бридж «bridge_LAN» (10.1.1.100/24)
Соответственно настроит роут
Правил FW нету… роутинг идёт…
Ставлю правило на FW:
--------------
Chain: forward
Action: drop
---------------
Соответственно пакеты не выходят, пинга за шлюз нет и т.д. что логично..
Делаю следующее правило и ставлю его выше (#0):
-------------
Chain: forward
Src. Address: 10.1.1.0/24
Dst. Address: 0.0.0.0/0
In. Interface: bridge_LAN
Out. Interface: ether10 (wan)
Action: accept
--------------
Воткнувшись в 4 Ether порт с адресацией 10.1.1.99/24 ни какой реакции… пинга нету, ни чего нету…
Выключаю оба правила – пакеты идут… Хочу ещё раз упомянуть? что нумерация правил выглядит так: #0 – accept; #1 – drop….
В чём проблема? Подскажите пожалуйста…
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
Vasia
сообщение 9.1.2014, 23:22
Сообщение #2


Активный участник
***

Группа: Пользователи
Сообщений: 295
Регистрация: 8.4.2011
Пользователь №: 1 154



Интерфейсы в правиле 0 уберите
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
DarkRock87
сообщение 10.1.2014, 12:28
Сообщение #3


Новичок
*

Группа: Пользователи
Сообщений: 3
Регистрация: 9.1.2014
Пользователь №: 6 359



Цитата(Vasia @ 9.1.2014, 23:22) *

Интерфейсы в правиле 0 уберите


Во-первых зачем? Я хочу поднять ВЛАНы и с определённых адресов этой сети 10.1.1.0/24 коннектиться к ним... убрав интерфейсы получиться что вся подсеть 10.1.1.0/24 сможет это делать... а мне этого не нужно... Писать отдельное правило к каждому ВЛАНу на запрет тоже не хочу... Легче всё всем запретить одни правилом а потом отдельными правилами разрешать... BSD в IPWF там можно было делать...

А во-вторых, с проблемой частично разобрался... не в Интерфейсах дело отнюдь... я их могу и убрать, но всё так же ни чего не будет работать... Я всего лишь добавил в правило #1 (drop):
_______________
Chain: forward
Src. Address: 10.0.0.0/8
Dst. Address: 0.0.0.0/0
Action: drop
______________
И всё заработало... но это и печалит... а если у меня планировались совсем разные подсети типа: 192.169.0.0/16, 172.16.0.0/16, 10.0.0.0/8... то мне придётся в таком случаи писать каждое правило на запрет каждой подсети... конечно это дело минутное, но всё же огорчает что FW MikroTik не такой уж и гибкий...
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
« Предыдущая тема · Фаервол · Следующая тема »
 

Ответить в эту темуОткрыть новую тему
1 чел. читают эту тему (гостей: 1, скрытых пользователей: 0)
Пользователей: 0

 



Текстовая версия Сейчас: 27.6.2019, 9:03