Jump to content
  • 0

Филтър на трафик от bridge


ziigmund

Question

Здравейте! Имам един hAp lite, на който съм сетнал всички ланове в бридж и искам да приложа правило за дроп на определен порт излизащ от въпросния бридж. Възможно ли е без нат? Мислех ,че е достатъчно да задам "use ip firewall" в настройките на бриджа, но явно не е така. Филтър в бридж не ми върши работа, защото немога да определям портовете там. Ще съм много благодарен ако някой ми помогне да реша този проблем.

Link to comment
Share on other sites

  • Answers 38
  • Created
  • Last Reply

Top Posters For This Question

  • ziigmund

    16

  • 111111

    12

  • JohnTRIVOLTA

    10

  • B13Bs

    1

Top Posters For This Question

Recommended Posts

  • 0
  • Administrator

ip firewall raw
prerouting, protocol port, drop
 

Харесай поста ^^^
acer.gif htc.gifsigpic4024_2.gif

Форумът е за взаимопомощ а не за свършване на чужда работа


ɹɐǝɥ uɐɔ noʎ ǝɹoɯ ǝɥʇ 'ǝɯoɔǝq noʎ ɹǝʇǝınb ǝɥʇ

Link to comment
Share on other sites

  • 0

Много благодаря за бързия отговор, но все още не се получава по описания начин..

Link to comment
Share on other sites

  • 0
  • Administrator

Отчита ли пакети правилото?

Харесай поста ^^^
acer.gif htc.gifsigpic4024_2.gif

Форумът е за взаимопомощ а не за свършване на чужда работа


ɹɐǝɥ uɐɔ noʎ ǝɹoɯ ǝɥʇ 'ǝɯoɔǝq noʎ ɹǝʇǝınb ǝɥʇ

Link to comment
Share on other sites

  • 0

Не,  и продължавам да си достъпвам въпросния порт без проблем. Искам да уточня само че бриджа има само един адрес на бриджа да мога да го достъпвам, друго всичко преминава през бриджа и отива в друг рутер .

Link to comment
Share on other sites

  • 0
  • Administrator

firewall включен ли е на бриджа?

Харесай поста ^^^
acer.gif htc.gifsigpic4024_2.gif

Форумът е за взаимопомощ а не за свършване на чужда работа


ɹɐǝɥ uɐɔ noʎ ǝɹoɯ ǝɥʇ 'ǝɯoɔǝq noʎ ɹǝʇǝınb ǝɥʇ

Link to comment
Share on other sites

  • 0

Да. Първоначално пробвах само с това и правило в /ip firewall , но без успех. За това реших да пиша тук.

Link to comment
Share on other sites

  • 0
  • Administrator
/ip firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid disabled=yes
add action=drop chain=output comment="defconf: drop invalid" connection-state=invalid disabled=yes
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=\
    established,related,untracked disabled=yes
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid

тези правила като ги добавиш отчитат ли някакви пакети 

Харесай поста ^^^
acer.gif htc.gifsigpic4024_2.gif

Форумът е за взаимопомощ а не за свършване на чужда работа


ɹɐǝɥ uɐɔ noʎ ǝɹoɯ ǝɥʇ 'ǝɯoɔǝq noʎ ɹǝʇǝınb ǝɥʇ

Link to comment
Share on other sites

  • 0
  • Administrator

какъв е резултата на 

/interface bridge export

 

Харесай поста ^^^
acer.gif htc.gifsigpic4024_2.gif

Форумът е за взаимопомощ а не за свършване на чужда работа


ɹɐǝɥ uɐɔ noʎ ǝɹoɯ ǝɥʇ 'ǝɯoɔǝq noʎ ɹǝʇǝınb ǝɥʇ

Link to comment
Share on other sites

  • 0
/interface bridge
add fast-forward=no name=bridge_LAN protocol-mode=none
/interface bridge port
add bridge=bridge_LAN interface=ether3
add bridge=bridge_LAN interface=ether4
add bridge=bridge_LAN interface=ether2
add bridge=bridge_LAN interface=ether1
/interface bridge settings
set use-ip-firewall=yes

edit: сега виждам ,че е започнал да върти counter-a на едно от правилата, които ми даде одеве..без да съм прaвил допълнителни настройки

 

/ip firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
Edited by ziigmund
Link to comment
Share on other sites

  • 0
  • Administrator

С коя версия на софтуера си ?

 

Харесай поста ^^^
acer.gif htc.gifsigpic4024_2.gif

Форумът е за взаимопомощ а не за свършване на чужда работа


ɹɐǝɥ uɐɔ noʎ ǝɹoɯ ǝɥʇ 'ǝɯoɔǝq noʎ ɹǝʇǝınb ǝɥʇ

Link to comment
Share on other sites

  • 0

Ако мога да помогна давам пример с който аз имам само 2 интерфейса wan i lan и блокирвам да не идва dhcp от ван интерфейса пробвай същото дадено ми е от колега в форума само си замести нужните портове.

 

/interface bridge filter 
add action=drop chain=input in-interface=WAN ip-protocol=udp mac-protocol=ip src-port=68
add action=drop chain=input in-interface=WAN ip-protocol=udp mac-protocol=ip src-port=67

/ip firewall filter
add action=drop chain=forward disabled=no dst-port=67 protocol=udp
add action=drop chain=forward disabled=no dst-port=68 protocol=udp
add action=drop chain=input disabled=no dst-port=67 protocol=udp
add action=drop chain=input disabled=no dst-port=68 protocol=udp
add action=drop chain=output disabled=no dst-port=67 protocol=udp
add action=drop chain=output disabled=no dst-port=68 protocol=udp

 

И виж кое правило ще ти върше работа радвам се ако сам бил полезен.

 

 

 

Edited by B13Bs
Link to comment
Share on other sites

  • 0
  • Administrator

В случая имаме 1 интерфейс 

иначе е писано за старите версии

 

Харесай поста ^^^
acer.gif htc.gifsigpic4024_2.gif

Форумът е за взаимопомощ а не за свършване на чужда работа


ɹɐǝɥ uɐɔ noʎ ǝɹoɯ ǝɥʇ 'ǝɯoɔǝq noʎ ɹǝʇǝınb ǝɥʇ

Link to comment
Share on other sites

  • 0

Все още не се получава. Трафика не попада в тези филтри дадени от колегата B13Bs

Link to comment
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
  • Recently Browsing   0 members

    • No registered users viewing this page.

×
×
  • Create New...

Important Information

By using this site, you agree to our Terms of Use.