firewall bridge

Базовая функциональность RouterOS
Ответить
p1ayb0y
Сообщения: 4
Зарегистрирован: 08 дек 2016, 00:26

firewall bridge

Сообщение p1ayb0y »

Всем привет.
У меня CRS125
24 порта, создал 2 бриджа.
Подскажите как настроить фаервол между компьютерами в бридже? К примеру запретить 445 порт на все компьютеры кроме сервера.
И в чем отличие bridge firewall и просто firewall? неужели это два разных фаирвола?
Правила не срабатывают, видимо я еще не понял политики партии микротика, первый раз так сказать.
Аватара пользователя
Chupaka
Сообщения: 3878
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: firewall bridge

Сообщение Chupaka »

А у CRS не аппаратный ли бридж по умолчанию? Master Port не указан у ethernet-интерфейсов? С ним надо в правила Switch лезть, я так понимаю. Или разбирать и делать программный бридж (через Bridge), но тут трафик потечёт через процессор, а он у CRS слабенький
p1ayb0y
Сообщения: 4
Зарегистрирован: 08 дек 2016, 00:26

Re: firewall bridge

Сообщение p1ayb0y »

убрал стандартную конфигурацию.
поднял два бриджа 20 и 2 порта.
Настроил фаирвол, чтобы внутри локальной сети компы были по максимуму закрыты (блокировать все входящие порты 135-445 и тд)
и нифига. внутри бриджа не фильтрует фаирвол.
все что между сетями летает - фильтрует, а в локалке нет.
бридж не грузит сеть. фот когда с инета летит 100 мегабит - тогда он загружается на 60-70 процентов =(
попробую на vlan все сделать, может получится.
Аватара пользователя
Chupaka
Сообщения: 3878
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: firewall bridge

Сообщение Chupaka »

Для бриджа надо либо использовать Bridge Filter, либо в бриджах в настройках поставить галку Use IP Firewall (/interface bridge settings set use-ip-firewall=yes)
p1ayb0y
Сообщения: 4
Зарегистрирован: 08 дек 2016, 00:26

Re: firewall bridge

Сообщение p1ayb0y »

в том то и дело, поставил и не работает блокировка внутри бриджа по портам tcp, хотя в логи пишет.
в bridge firewall порты и ИП адреса неактивны.
буду изучать дальше...
Аватара пользователя
Chupaka
Сообщения: 3878
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: firewall bridge

Сообщение Chupaka »

кто что пишет в логи?

чтобы стали "активны", надо в MAC Protocol выбрать IP
p1ayb0y
Сообщения: 4
Зарегистрирован: 08 дек 2016, 00:26

Re: firewall bridge

Сообщение p1ayb0y »

экспериментировал до талого, все варианты перебрал. задача заблокировать трафик на определенные ип внутри бриджа.
между бриджами работает, в одном бридже нет. Пробовал оба фаирвола. Обычный который - пишет в логи но не блокирует, даже трафик считает...
есть рабочие примеры ребята? гугл скуден по поводу файрвола в бридже...
Аватара пользователя
Chupaka
Сообщения: 3878
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: firewall bridge

Сообщение Chupaka »

Да не томите, показывайте, что пишет-то. Из вас информацию клещами вытягивать надо. Пишите, что делаете, чего ожидаете и как на самом деле происходит. Телепатов нет же.
genmih
Сообщения: 1
Зарегистрирован: 16 мар 2024, 05:06

Re: firewall bridge

Сообщение genmih »

Запрещаем конкретный IP внутри бриджа mikrotik:
/interface bridge filter set *1 action=drop chain=forward comment="" disabled=no in-bridge=bridge in-interface=ether1 log=yes log-prefix="mac filter" mac-protocol=ip out-interface=ether3 src-address=141.95.84.139/32
Ответить