12 ноября 2012 г., 23:45 пользователь Volodymyr Lito
Коллеги, привет
нужен совет - я рисую файрволл для CPE'шки имени Микротика. Концепт следующий - поскольку провайдер предоставляет PPPoE (ethertypes 0x8863/0x8864), я думаю поступить следующим образом:
прикрыть Ethernet от любого трафика за исключением PPPoE на уровне MAC-фильтра, а айпишные пакетные фильтры прикручивать на pppoe-интерфейсе.
а пров что айпишник выдает ? для рррое айпишник не нужен, а нету айпишника - нету проблем.
Итак:
Список интерфейсов в наличии:
[admin@Vugluskr] > /interface print Flags: D - dynamic, X - disabled, R - running, S - slave # NAME TYPE MTU L2MTU MAX-L2MTU 0 R ether1-gateway ether 1500 1600 4076 1 R ether2-master-local ether 1500 1598 2028 2 ether3-slave-local ether 1500 1598 2028 3 ether4-slave-local ether 1500 1598 2028 4 ether5-slave-local ether 1500 1598 2028 5 R wlan1 wlan 1500 2290 6 R bridge-local bridge 1500 1598 7 R pppoe-out1 pppoe-out 1480
MAC-фильтр на input / ether1-gateway:
[admin@Vugluskr] /interface bridge filter> print Flags: X - disabled, I - invalid, D - dynamic 0 chain=input action=accept in-interface=ether1-gateway in-bridge=bridge-local mac-protocol=pppoe-discovery 1 chain=input action=accept in-interface=ether1-gateway in-bridge=bridge-local mac-protocol=pppoe 2 chain=input action=accept in-interface=ether1-gateway in-bridge=bridge-local mac-protocol=arp 3 chain=input action=drop in-interface=ether1-gateway in-bridge=bridge-local
фигня какая-то. неужто железяка пропустила такой конфиг ? *mac-protocol* (all | *integer*; default: *all*) - the MAC protocol of the packet. Most widely used MAC protocols are (many other exist): *all* - all the MAC protocols *2048* - IP *2054* - ARP *32821* - RARP *32823* - IPX *32923* - AppleTalk (EtherTalk) *33011* - AppleTalk Address Resolution Protocolhttp://www.mikrotik.com/Documentation/manual_2.7/Basic/Glossary.html/#ht1054... (AARP) *33169* - NetBEUI *34525* - IPv6
т.е. запретить на ethernet все, кроме ethertypes == arp, pppoe-discovery и pppoe. Но по факту - статистика пустая, он не ловит в этот фильтр ни одного пакета:
ну правильно - и чего туда пакетам попадать? [admin@Vugluskr] /interface bridge filter> print stats
Flags: X - disabled, I - invalid, D - dynamic # CHAIN ACTION BYTES PACKETS 0 input accept 0 0 1 input accept 0 0 2 input accept 0 0 3 input drop 0 0
Его бутнуть надо, чтобы фильтр активировался?
конечно нет - это ж нормальная операционка.