Lystopad Aleksandr wrote:
Hello, Alexandr Turovsky!
On Tue, Nov 13, 2012 at 09:28:46AM +0200 tav@imc.org.ua wrote about "Re: [uanog] Microtik filters Q":
Volodymyr Lito wrote:
Коллеги, привет
Если мне память не изменяет : interface bridge settings set use-ip-firewall=yes
не то! бридж это интерфейс ether2-master-local + wlan1 обычно, а ether1-gateway не входит в бридж обычно.
любая фильтрация на Л2 - включаем бридж-фаервол , эта опция засылает пакеты по все цепочке iptables/ibtables , т.е. в cpu
нужен совет - я рисую файрволл для CPE'шки имени Микротика. Концепт следующий - поскольку провайдер предоставляет PPPoE (ethertypes 0x8863/0x8864), я думаю поступить следующим образом:
прикрыть Ethernet от любого трафика за исключением PPPoE на уровне MAC-фильтра, а айпишные пакетные фильтры прикручивать на pppoe-интерфейсе.
Итак:
Список интерфейсов в наличии:
[admin@Vugluskr]> /interface print Flags: D - dynamic, X - disabled, R - running, S - slave # NAME TYPE MTU L2MTU MAX-L2MTU 0 R ether1-gateway ether 1500 1600 4076 1 R ether2-master-local ether 1500 1598 2028 2 ether3-slave-local ether 1500 1598 2028 3 ether4-slave-local ether 1500 1598 2028 4 ether5-slave-local ether 1500 1598 2028 5 R wlan1 wlan 1500 2290 6 R bridge-local bridge 1500 1598 7 R pppoe-out1 pppoe-out 1480
MAC-фильтр на input / ether1-gateway:
[admin@Vugluskr] /interface bridge filter> print Flags: X - disabled, I - invalid, D - dynamic 0 chain=input action=accept in-interface=ether1-gateway in-bridge=bridge-local mac-protocol=pppoe-discovery 1 chain=input action=accept in-interface=ether1-gateway in-bridge=bridge-local mac-protocol=pppoe 2 chain=input action=accept in-interface=ether1-gateway in-bridge=bridge-local mac-protocol=arp 3 chain=input action=drop in-interface=ether1-gateway in-bridge=bridge-local
А зачем тут in-bridge=bridge-local ?
т.е. запретить на ethernet все, кроме ethertypes == arp, pppoe-discovery и pppoe. Но по факту - статистика пустая, он не ловит в этот фильтр ни одного пакета:
[admin@Vugluskr] /interface bridge filter> print stats Flags: X - disabled, I - invalid, D - dynamic # CHAIN ACTION BYTES PACKETS 0 input accept 0 0 1 input accept 0 0 2 input accept 0 0 3 input drop 0 0
Его бутнуть надо, чтобы фильтр активировался?
не надо, imho