Помощь - Поиск - Пользователи - Календарь
Полная версия: MikroTik RouterOS (Firewall & NAT)
PCROUTER.RU Форум > MikroTik > Фаервол
DarkRock87
Возникла проблемы с непониманием настройки фаервола… Не понимаю как настроить фаервол, что бы определённому IP адресу или подсети разрешить выходить в определённую подсеть или интерфейс…
К примеру:
Использую RB2011UAS-2HnD-IN
WAN – port 10 (192.168.1.25/24)
Все остальные порты 1-9 объединены в бридж «bridge_LAN» (10.1.1.100/24)
Соответственно настроит роут
Правил FW нету… роутинг идёт…
Ставлю правило на FW:
--------------
Chain: forward
Action: drop
---------------
Соответственно пакеты не выходят, пинга за шлюз нет и т.д. что логично..
Делаю следующее правило и ставлю его выше (#0):
-------------
Chain: forward
Src. Address: 10.1.1.0/24
Dst. Address: 0.0.0.0/0
In. Interface: bridge_LAN
Out. Interface: ether10 (wan)
Action: accept
--------------
Воткнувшись в 4 Ether порт с адресацией 10.1.1.99/24 ни какой реакции… пинга нету, ни чего нету…
Выключаю оба правила – пакеты идут… Хочу ещё раз упомянуть? что нумерация правил выглядит так: #0 – accept; #1 – drop….
В чём проблема? Подскажите пожалуйста…
Vasia
Интерфейсы в правиле 0 уберите
DarkRock87
Цитата(Vasia @ 9.1.2014, 23:22) *

Интерфейсы в правиле 0 уберите


Во-первых зачем? Я хочу поднять ВЛАНы и с определённых адресов этой сети 10.1.1.0/24 коннектиться к ним... убрав интерфейсы получиться что вся подсеть 10.1.1.0/24 сможет это делать... а мне этого не нужно... Писать отдельное правило к каждому ВЛАНу на запрет тоже не хочу... Легче всё всем запретить одни правилом а потом отдельными правилами разрешать... BSD в IPWF там можно было делать...

А во-вторых, с проблемой частично разобрался... не в Интерфейсах дело отнюдь... я их могу и убрать, но всё так же ни чего не будет работать... Я всего лишь добавил в правило #1 (drop):
_______________
Chain: forward
Src. Address: 10.0.0.0/8
Dst. Address: 0.0.0.0/0
Action: drop
______________
И всё заработало... но это и печалит... а если у меня планировались совсем разные подсети типа: 192.169.0.0/16, 172.16.0.0/16, 10.0.0.0/8... то мне придётся в таком случаи писать каждое правило на запрет каждой подсети... конечно это дело минутное, но всё же огорчает что FW MikroTik не такой уж и гибкий...
Это текстовая версия — только основной контент. Для просмотра полной версии этой страницы, пожалуйста, нажмите сюда.