ACL на порту по source IP

RIP, OSFP, BGP, MPLS/VPLS
strix
Сообщения: 2
Зарегистрирован: 20 фев 2021, 10:35

ACL на порту по source IP

Сообщение strix »

Добрый день. Есть задача: ACL на порту по source IP.
Дано:
CRS328-24P-4S+RM, routeros 6.47.9.
Конфигурация:
Настроены vlan - в bridge/ports поставлен нужный PVID, например 100. В bridge/VLANs добавлен влан с тегом 100. Порт на котором требуется настроить ACL настроен в untagged.
Проблема:
1) Если использовать bridge/filter, то при таком правиле:
chain=forward action=drop in-interface=ether3 in-bridge=bridge mac-protocol=ip src-address=!10.100.0.150/32 log=no log-prefix=""
фильтрация не работает.
При этом, если порт вывести из влана (убрать из untagged в bridge/VLANs), то правило начинает работать. Очевидно, что проблема в тэгировании, но как ее решить - не очень понятно. Если в параметрах фильтра указывать 100 влан, то выходит сообщение :
Couldn't change Bridge Filter Rule <00:00:00:00:00:00->00:00:00:00:00:00> - vlan matchers valid only for vlan ethernet protocol (0x8100 or 0x88a8) (6)
Что логично. И если выбрать протокол vlan, то не получится задать source ip.
2) Так же можно попробовать использовать ip firewall, для этого в bridge/settings ставится галка у пункта - Use IP Firewall For VLAN, но при настройке такого правила:
chain=forward action=drop src-address=!10.100.0.150 in-interface=ether3 log=no log-prefix=""
выходит сообщение:
in/out-interface matcher not possible when interface (ether3) is slave - use master instead (bridge)
Но как сделать порт мастером, если он добавлен в бридж? На сколько я понимаю, никак.

Кто-то сталкивался с данной задачей? Есть варианты решения? Заранее спасибо.

П. С. хотелось бы настроить это именно на routeros. На swos пробовал, ACL там есть, но почему-то не получилось настроить аналогичное правило - дропать все, кроме указанного ip. (может куда-то не туда смотрел)
Аватара пользователя
Chupaka
Сообщения: 3062
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: ACL на порту по source IP

Сообщение Chupaka »

Здравствуйте.

А вы какой именно трафик хотите дропать: коммутируемый (с одного порта bridge на другой порт того же bridge) или маршрутизируемый (в другую подсеть)? Ваше правило для первого случая, во втором случае надо использовать chain=input (кстати, у вас в обоих случаях первого пункта клиент на порту нормально работает? а то не очень понятно, что именно у вас там настроено и используется ли VLAN Filtering).

А в IP Firewall надо в таком случае использовать не in-interface, а in-bridge-port.
strix
Сообщения: 2
Зарегистрирован: 20 фев 2021, 10:35

Re: ACL на порту по source IP

Сообщение strix »

Требуется фильтровать коммутируемый трафик в vlan 100. Да, разумеется, vlan viltering в бридже, к которому принадлежит порт, включен.