Привет, да, ether1-gateway не входит в bridge-local. Если я порт в этот бридж добавляю - выход в интернет перестает работать (вероятно, блокировка на стороне провайдера - порт становится частью STP-домена и, вероятно, начинает слать в сторону провайдера BPDU... мне бы это не понравилось...) Если сделать отдельный бридж, не активировать в нем STP и включить в него только один порт (ether1-gateway) - то тоже не работает. Вероятно, получаются два раздельных бриджа, не связанных между собой? В логах слишком чисто для того, чтобы делать какую-то вменяемую диагностику. Итого: - поскольку фильтры можно включить только на бридже, то WAN-интерфейс надо подключить к бриджу; - включение его в локальный бридж, а также в свой собственный, по каким-то причинам блокирует доступ к интернет - трасса из локальной сети заканчивается на устройстве. Есть идеи, как можно зафильтровать входящие с внешнего интерфеса пакеты по ethertype? Спасибо. -- /doka On Nov 13, 2012, at 9:37 AM, Lystopad Aleksandr wrote:
Hello, Alexandr Turovsky!
On Tue, Nov 13, 2012 at 09:28:46AM +0200 tav@imc.org.ua wrote about "Re: [uanog] Microtik filters Q":
Volodymyr Lito wrote:
Коллеги, привет
Если мне память не изменяет : interface bridge settings set use-ip-firewall=yes
не то! бридж это интерфейс ether2-master-local + wlan1 обычно, а ether1-gateway не входит в бридж обычно.
нужен совет - я рисую файрволл для CPE'шки имени Микротика. Концепт следующий - поскольку провайдер предоставляет PPPoE (ethertypes 0x8863/0x8864), я думаю поступить следующим образом:
прикрыть Ethernet от любого трафика за исключением PPPoE на уровне MAC-фильтра, а айпишные пакетные фильтры прикручивать на pppoe-интерфейсе.
Итак:
Список интерфейсов в наличии:
[admin@Vugluskr]> /interface print Flags: D - dynamic, X - disabled, R - running, S - slave # NAME TYPE MTU L2MTU MAX-L2MTU 0 R ether1-gateway ether 1500 1600 4076 1 R ether2-master-local ether 1500 1598 2028 2 ether3-slave-local ether 1500 1598 2028 3 ether4-slave-local ether 1500 1598 2028 4 ether5-slave-local ether 1500 1598 2028 5 R wlan1 wlan 1500 2290 6 R bridge-local bridge 1500 1598 7 R pppoe-out1 pppoe-out 1480
MAC-фильтр на input / ether1-gateway:
[admin@Vugluskr] /interface bridge filter> print Flags: X - disabled, I - invalid, D - dynamic 0 chain=input action=accept in-interface=ether1-gateway in-bridge=bridge-local mac-protocol=pppoe-discovery 1 chain=input action=accept in-interface=ether1-gateway in-bridge=bridge-local mac-protocol=pppoe 2 chain=input action=accept in-interface=ether1-gateway in-bridge=bridge-local mac-protocol=arp 3 chain=input action=drop in-interface=ether1-gateway in-bridge=bridge-local
А зачем тут in-bridge=bridge-local ?
т.е. запретить на ethernet все, кроме ethertypes == arp, pppoe-discovery и pppoe. Но по факту - статистика пустая, он не ловит в этот фильтр ни одного пакета:
[admin@Vugluskr] /interface bridge filter> print stats Flags: X - disabled, I - invalid, D - dynamic # CHAIN ACTION BYTES PACKETS 0 input accept 0 0 1 input accept 0 0 2 input accept 0 0 3 input drop 0 0
Его бутнуть надо, чтобы фильтр активировался?
не надо, imho
-- Lystopad Aleksandr