Филтър на трафик от bridge

[ziigmund]

Здравейте! Имам един hAp lite, на който съм сетнал всички ланове в бридж и искам да приложа правило за дроп на определен порт излизащ от въпросния бридж. Възможно ли е без нат? Мислех ,че е достатъчно да задам "use ip firewall" в настройките на бриджа, но явно не е така. Филтър в бридж не ми върши работа, защото немога да определям портовете там. Ще съм много благодарен ако някой ми помогне да реша този проблем.

[111111]

ip firewall raw
prerouting, protocol port, drop
 

[ziigmund]

Много благодаря за бързия отговор, но все още не се получава по описания начин..

[111111]

Отчита ли пакети правилото?

[ziigmund]

Не,  и продължавам да си достъпвам въпросния порт без проблем. Искам да уточня само че бриджа има само един адрес на бриджа да мога да го достъпвам, друго всичко преминава през бриджа и отива в друг рутер .

[111111]

firewall включен ли е на бриджа?

[ziigmund]

Да. Първоначално пробвах само с това и правило в /ip firewall , но без успех. За това реших да пиша тук.

[111111]

/ip firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid disabled=yes
add action=drop chain=output comment="defconf: drop invalid" connection-state=invalid disabled=yes
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=\
    established,related,untracked disabled=yes
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid

тези правила като ги добавиш отчитат ли някакви пакети 

[ziigmund]

Не, нито едно от тях.

[111111]

какъв е резултата на 

/interface bridge export

 

[ziigmund]

/interface bridge
add fast-forward=no name=bridge_LAN protocol-mode=none
/interface bridge port
add bridge=bridge_LAN interface=ether3
add bridge=bridge_LAN interface=ether4
add bridge=bridge_LAN interface=ether2
add bridge=bridge_LAN interface=ether1
/interface bridge settings
set use-ip-firewall=yes

edit: сега виждам ,че е започнал да върти counter-a на едно от правилата, които ми даде одеве..без да съм прaвил допълнителни настройки

 

/ip firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=\
    established,related,untracked

Редактирано 21 Ноември, 2018 от ziigmund

[111111]

С коя версия на софтуера си ?

 

[ziigmund]

6.43.4

 

[B13Bs]

Ако мога да помогна давам пример с който аз имам само 2 интерфейса wan i lan и блокирвам да не идва dhcp от ван интерфейса пробвай същото дадено ми е от колега в форума само си замести нужните портове.

 

/interface bridge filter 
add action=drop chain=input in-interface=WAN ip-protocol=udp mac-protocol=ip src-port=68
add action=drop chain=input in-interface=WAN ip-protocol=udp mac-protocol=ip src-port=67

/ip firewall filter
add action=drop chain=forward disabled=no dst-port=67 protocol=udp
add action=drop chain=forward disabled=no dst-port=68 protocol=udp
add action=drop chain=input disabled=no dst-port=67 protocol=udp
add action=drop chain=input disabled=no dst-port=68 protocol=udp
add action=drop chain=output disabled=no dst-port=67 protocol=udp
add action=drop chain=output disabled=no dst-port=68 protocol=udp

 

И виж кое правило ще ти върше работа радвам се ако сам бил полезен.

 

 

 

Редактирано 22 Ноември, 2018 от B13Bs

[111111]

В случая имаме 1 интерфейс 

иначе е писано за старите версии

 

[ziigmund]

Все още не се получава. Трафика не попада в тези филтри дадени от колегата B13Bs