Всем привет.
У меня CRS125
24 порта, создал 2 бриджа.
Подскажите как настроить фаервол между компьютерами в бридже? К примеру запретить 445 порт на все компьютеры кроме сервера.
И в чем отличие bridge firewall и просто firewall? неужели это два разных фаирвола?
Правила не срабатывают, видимо я еще не понял политики партии микротика, первый раз так сказать.
firewall bridge
-
Chupaka
- Сообщения: 4086
- Зарегистрирован: 29 фев 2016, 15:26
- Откуда: Минск
Re: firewall bridge
А у CRS не аппаратный ли бридж по умолчанию? Master Port не указан у ethernet-интерфейсов? С ним надо в правила Switch лезть, я так понимаю. Или разбирать и делать программный бридж (через Bridge), но тут трафик потечёт через процессор, а он у CRS слабенький
-
p1ayb0y
- Сообщения: 4
- Зарегистрирован: 08 дек 2016, 00:26
Re: firewall bridge
убрал стандартную конфигурацию.
поднял два бриджа 20 и 2 порта.
Настроил фаирвол, чтобы внутри локальной сети компы были по максимуму закрыты (блокировать все входящие порты 135-445 и тд)
и нифига. внутри бриджа не фильтрует фаирвол.
все что между сетями летает - фильтрует, а в локалке нет.
бридж не грузит сеть. фот когда с инета летит 100 мегабит - тогда он загружается на 60-70 процентов =(
попробую на vlan все сделать, может получится.
поднял два бриджа 20 и 2 порта.
Настроил фаирвол, чтобы внутри локальной сети компы были по максимуму закрыты (блокировать все входящие порты 135-445 и тд)
и нифига. внутри бриджа не фильтрует фаирвол.
все что между сетями летает - фильтрует, а в локалке нет.
бридж не грузит сеть. фот когда с инета летит 100 мегабит - тогда он загружается на 60-70 процентов =(
попробую на vlan все сделать, может получится.
-
Chupaka
- Сообщения: 4086
- Зарегистрирован: 29 фев 2016, 15:26
- Откуда: Минск
Re: firewall bridge
Для бриджа надо либо использовать Bridge Filter, либо в бриджах в настройках поставить галку Use IP Firewall (/interface bridge settings set use-ip-firewall=yes)
-
p1ayb0y
- Сообщения: 4
- Зарегистрирован: 08 дек 2016, 00:26
Re: firewall bridge
в том то и дело, поставил и не работает блокировка внутри бриджа по портам tcp, хотя в логи пишет.
в bridge firewall порты и ИП адреса неактивны.
буду изучать дальше...
в bridge firewall порты и ИП адреса неактивны.
буду изучать дальше...
-
Chupaka
- Сообщения: 4086
- Зарегистрирован: 29 фев 2016, 15:26
- Откуда: Минск
Re: firewall bridge
кто что пишет в логи?
чтобы стали "активны", надо в MAC Protocol выбрать IP
чтобы стали "активны", надо в MAC Protocol выбрать IP
-
p1ayb0y
- Сообщения: 4
- Зарегистрирован: 08 дек 2016, 00:26
Re: firewall bridge
экспериментировал до талого, все варианты перебрал. задача заблокировать трафик на определенные ип внутри бриджа.
между бриджами работает, в одном бридже нет. Пробовал оба фаирвола. Обычный который - пишет в логи но не блокирует, даже трафик считает...
есть рабочие примеры ребята? гугл скуден по поводу файрвола в бридже...
между бриджами работает, в одном бридже нет. Пробовал оба фаирвола. Обычный который - пишет в логи но не блокирует, даже трафик считает...
есть рабочие примеры ребята? гугл скуден по поводу файрвола в бридже...
-
Chupaka
- Сообщения: 4086
- Зарегистрирован: 29 фев 2016, 15:26
- Откуда: Минск
Re: firewall bridge
Да не томите, показывайте, что пишет-то. Из вас информацию клещами вытягивать надо. Пишите, что делаете, чего ожидаете и как на самом деле происходит. Телепатов нет же.
-
genmih
- Сообщения: 1
- Зарегистрирован: 16 мар 2024, 05:06
Re: firewall bridge
Запрещаем конкретный IP внутри бриджа mikrotik:
/interface bridge filter set *1 action=drop chain=forward comment="" disabled=no in-bridge=bridge in-interface=ether1 log=yes log-prefix="mac filter" mac-protocol=ip out-interface=ether3 src-address=141.95.84.139/32
/interface bridge filter set *1 action=drop chain=forward comment="" disabled=no in-bridge=bridge in-interface=ether1 log=yes log-prefix="mac filter" mac-protocol=ip out-interface=ether3 src-address=141.95.84.139/32