Jump to content
  • 0
ziigmund

Филтър на трафик от bridge

Въпрос

ziigmund

Здравейте! Имам един hAp lite, на който съм сетнал всички ланове в бридж и искам да приложа правило за дроп на определен порт излизащ от въпросния бридж. Възможно ли е без нат? Мислех ,че е достатъчно да задам "use ip firewall" в настройките на бриджа, но явно не е така. Филтър в бридж не ми върши работа, защото немога да определям портовете там. Ще съм много благодарен ако някой ми помогне да реша този проблем.

Сподели публикацията


Адрес на коментара
Сподели в други сайтове

Recommended Posts

  • 0
111111

ip firewall raw
prerouting, protocol port, drop
 

Сподели публикацията


Адрес на коментара
Сподели в други сайтове
  • 0
ziigmund

Много благодаря за бързия отговор, но все още не се получава по описания начин..

Сподели публикацията


Адрес на коментара
Сподели в други сайтове
  • 0
111111

Отчита ли пакети правилото?

Сподели публикацията


Адрес на коментара
Сподели в други сайтове
  • 0
ziigmund

Не,  и продължавам да си достъпвам въпросния порт без проблем. Искам да уточня само че бриджа има само един адрес на бриджа да мога да го достъпвам, друго всичко преминава през бриджа и отива в друг рутер .

Сподели публикацията


Адрес на коментара
Сподели в други сайтове
  • 0
111111

firewall включен ли е на бриджа?

Сподели публикацията


Адрес на коментара
Сподели в други сайтове
  • 0
ziigmund

Да. Първоначално пробвах само с това и правило в /ip firewall , но без успех. За това реших да пиша тук.

Сподели публикацията


Адрес на коментара
Сподели в други сайтове
  • 0
111111

Моля, влезте или се регистрирайте, за да видите този code.

тези правила като ги добавиш отчитат ли някакви пакети 

Сподели публикацията


Адрес на коментара
Сподели в други сайтове
  • 0
ziigmund

Моля, влезте или се регистрирайте, за да видите този code.

edit: сега виждам ,че е започнал да върти counter-a на едно от правилата, които ми даде одеве..без да съм прaвил допълнителни настройки

 

Моля, влезте или се регистрирайте, за да видите този code.

Редактирано от ziigmund

Сподели публикацията


Адрес на коментара
Сподели в други сайтове
  • 0
111111

С коя версия на софтуера си ?

 

Сподели публикацията


Адрес на коментара
Сподели в други сайтове
  • 0
B13Bs

Ако мога да помогна давам пример с който аз имам само 2 интерфейса wan i lan и блокирвам да не идва dhcp от ван интерфейса пробвай същото дадено ми е от колега в форума само си замести нужните портове.

 

/interface bridge filter 
add action=drop chain=input in-interface=WAN ip-protocol=udp mac-protocol=ip src-port=68
add action=drop chain=input in-interface=WAN ip-protocol=udp mac-protocol=ip src-port=67

/ip firewall filter
add action=drop chain=forward disabled=no dst-port=67 protocol=udp
add action=drop chain=forward disabled=no dst-port=68 protocol=udp
add action=drop chain=input disabled=no dst-port=67 protocol=udp
add action=drop chain=input disabled=no dst-port=68 protocol=udp
add action=drop chain=output disabled=no dst-port=67 protocol=udp
add action=drop chain=output disabled=no dst-port=68 protocol=udp

 

И виж кое правило ще ти върше работа радвам се ако сам бил полезен.

 

 

 

Редактирано от B13Bs

Сподели публикацията


Адрес на коментара
Сподели в други сайтове
  • 0
111111

В случая имаме 1 интерфейс 

иначе е писано за старите версии

 

Сподели публикацията


Адрес на коментара
Сподели в други сайтове
  • 0
ziigmund

Все още не се получава. Трафика не попада в тези филтри дадени от колегата B13Bs

Сподели публикацията


Адрес на коментара
Сподели в други сайтове
  • 0
ziigmund

С същата версия на фърмуера ли ? И същата ли е постановката, всички портове в бридж, а гейта е рутер след бриджа?

Редактирано от ziigmund

Сподели публикацията


Адрес на коментара
Сподели в други сайтове
  • 0
JohnTRIVOLTA
Преди 2 часа, ziigmund написа:

С същата версия на фърмуера ли ? И същата ли е постановката, всички портове в бридж, а гейта е рутер след бриджа?

Ползвай филтъра на бриджа. Там имаш и изходящи и входящи интерфейси !

Понеже гледам и в официалният сайт пишеш и си пробвал уж, гледай да не бъркаш Firewall Filter с Bridge Filter

 

Редактирано от JohnTRIVOLTA

Сподели публикацията


Адрес на коментара
Сподели в други сайтове
  • 0
ziigmund

Пробвах още вчера, пак не влиза нищо и в тоя филтър. Почвам да си мисля че е от фърмуера нещо....

Сподели публикацията


Адрес на коментара
Сподели в други сайтове
  • 0
JohnTRIVOLTA
Just now, ziigmund написа:

Пробвах още вчера, пак не влиза нищо и в тоя филтър. Почвам да си мисля че е от фърмуера нещо....

Да не бъркаш нещо !? Ти кажи какво точно искаш .

Сподели публикацията


Адрес на коментара
Сподели в други сайтове
  • 0
ziigmund

Искам да блокирам заявки към конкретен порт, в случая 21. Без значение дали правя входящо или изходящо правило нищо не се случва.......

 

Топологията е както слведа :

Има един входящ рутер (пак микротик), който има вътрешна мрежа 192.168.55.0/24 . В тая мрежа има устройства изведени на вън с НАТ, чийто трафик към порт 21 искам да огранича и затова се опитах като на един hAp lite, добавя всички портове в бридж и го сложа между устройствата и първия рутер, но нещо ударих на камък.

Редактирано от ziigmund

Сподели публикацията


Адрес на коментара
Сподели в други сайтове
  • 0
JohnTRIVOLTA
преди 10 минути, ziigmund написа:

Искам да блокирам заявки към конкретен порт, в случая 21. Без значение дали правя входящо или изходящо правило нищо не се случва.......

/interface bridge filter add action=drop chain=forward dst-address=0.0.0.0/0 dst-port=21 in-interface=ether2 ip-protocol=tcp mac-protocol=ip 

Замести правилният порт на болднатият ин интерфейс както трябва да е при теб ... ако искаш и към рутера да блокираш заявките добави едно правило и с chain=input

Ако искаш въобще да блокираш порта независимо от кой бриджпорт в бриджа то премахни ин интерфейса

Редактирано от JohnTRIVOLTA

Сподели публикацията


Адрес на коментара
Сподели в други сайтове
  • 0
JohnTRIVOLTA

Това в междинният рутер ли го правиш .. ползваш ли фасттрак ?

Как пробваш това не става, заявката на 21 към публичен адрес ли е, към рутера ти ли

/interface bridge filter add action=drop chain=forward dst-address=0.0.0.0/0 dst-port=21 mac-protocol=ip

само така пробвай

Постни да видим - interface bridge filter print detail 

Редактирано от JohnTRIVOLTA

Сподели публикацията


Адрес на коментара
Сподели в други сайтове
  • 0
ziigmund

пробвах, същия резултат. И без специфичен порт пробвах за целия трафик пак не ще. Да в междинния, който е бридж, защото нямам достъп до другия

Сподели публикацията


Адрес на коментара
Сподели в други сайтове

Създайте нов акаунт или се впишете, за да коментирате

За да коментирате, трябва да имате регистрация

Създайте акаунт

Присъединете се към нашата общност. Регистрацията става бързо!

Регистрация на нов акаунт

Вход

Имате акаунт? Впишете се оттук.

Вписване

  • Потребители разглеждащи страницата   0 потребители

    No registered users viewing this page.

×

Important Information

By using this site, you agree to our Terms of Use.