Коллеги, привет
нужен совет - я рисую файрволл для CPE'шки имени Микротика. Концепт следующий - поскольку провайдер предоставляет PPPoE (ethertypes 0x8863/0x8864), я думаю поступить следующим образом:
прикрыть Ethernet от любого трафика за исключением PPPoE на уровне MAC-фильтра, а айпишные пакетные фильтры прикручивать на pppoe-интерфейсе.
Итак:
Список интерфейсов в наличии:
[admin@Vugluskr] > /interface print
Flags: D - dynamic, X - disabled, R - running, S - slave
# NAME TYPE MTU L2MTU MAX-L2MTU
0 R ether1-gateway ether 1500 1600 4076
1 R ether2-master-local ether 1500 1598 2028
2 ether3-slave-local ether 1500 1598 2028
3 ether4-slave-local ether 1500 1598 2028
4 ether5-slave-local ether 1500 1598 2028
5 R wlan1 wlan 1500 2290
6 R bridge-local bridge 1500 1598
7 R pppoe-out1 pppoe-out 1480
MAC-фильтр на input / ether1-gateway:
[admin@Vugluskr] /interface bridge filter> print
Flags: X - disabled, I - invalid, D - dynamic
0 chain=input action=accept in-interface=ether1-gateway in-bridge=bridge-local mac-protocol=pppoe-discovery
1 chain=input action=accept in-interface=ether1-gateway in-bridge=bridge-local mac-protocol=pppoe
2 chain=input action=accept in-interface=ether1-gateway in-bridge=bridge-local mac-protocol=arp
3 chain=input action=drop in-interface=ether1-gateway in-bridge=bridge-local
т.е. запретить на ethernet все, кроме ethertypes == arp, pppoe-discovery и pppoe. Но по факту - статистика пустая, он не ловит в этот фильтр ни одного пакета:
[admin@Vugluskr] /interface bridge filter> print stats
Flags: X - disabled, I - invalid, D - dynamic
# CHAIN ACTION BYTES PACKETS
0 input accept 0 0
1 input accept 0 0
2 input accept 0 0
3 input drop 0 0
Его бутнуть надо, чтобы фильтр активировался?
Спасибо.