Коллеги, привет нужен совет - я рисую файрволл для CPE'шки имени Микротика. Концепт следующий - поскольку провайдер предоставляет PPPoE (ethertypes 0x8863/0x8864), я думаю поступить следующим образом: прикрыть Ethernet от любого трафика за исключением PPPoE на уровне MAC-фильтра, а айпишные пакетные фильтры прикручивать на pppoe-интерфейсе. Итак: Список интерфейсов в наличии: [admin@Vugluskr] > /interface print Flags: D - dynamic, X - disabled, R - running, S - slave # NAME TYPE MTU L2MTU MAX-L2MTU 0 R ether1-gateway ether 1500 1600 4076 1 R ether2-master-local ether 1500 1598 2028 2 ether3-slave-local ether 1500 1598 2028 3 ether4-slave-local ether 1500 1598 2028 4 ether5-slave-local ether 1500 1598 2028 5 R wlan1 wlan 1500 2290 6 R bridge-local bridge 1500 1598 7 R pppoe-out1 pppoe-out 1480 MAC-фильтр на input / ether1-gateway: [admin@Vugluskr] /interface bridge filter> print Flags: X - disabled, I - invalid, D - dynamic 0 chain=input action=accept in-interface=ether1-gateway in-bridge=bridge-local mac-protocol=pppoe-discovery 1 chain=input action=accept in-interface=ether1-gateway in-bridge=bridge-local mac-protocol=pppoe 2 chain=input action=accept in-interface=ether1-gateway in-bridge=bridge-local mac-protocol=arp 3 chain=input action=drop in-interface=ether1-gateway in-bridge=bridge-local т.е. запретить на ethernet все, кроме ethertypes == arp, pppoe-discovery и pppoe. Но по факту - статистика пустая, он не ловит в этот фильтр ни одного пакета: [admin@Vugluskr] /interface bridge filter> print stats Flags: X - disabled, I - invalid, D - dynamic # CHAIN ACTION BYTES PACKETS 0 input accept 0 0 1 input accept 0 0 2 input accept 0 0 3 input drop 0 0 Его бутнуть надо, чтобы фильтр активировался? Спасибо. -- /doka
12 ноября 2012 г., 23:45 пользователь Volodymyr Lito
Коллеги, привет
нужен совет - я рисую файрволл для CPE'шки имени Микротика. Концепт следующий - поскольку провайдер предоставляет PPPoE (ethertypes 0x8863/0x8864), я думаю поступить следующим образом:
прикрыть Ethernet от любого трафика за исключением PPPoE на уровне MAC-фильтра, а айпишные пакетные фильтры прикручивать на pppoe-интерфейсе.
а пров что айпишник выдает ? для рррое айпишник не нужен, а нету айпишника - нету проблем.
Итак:
Список интерфейсов в наличии:
[admin@Vugluskr] > /interface print Flags: D - dynamic, X - disabled, R - running, S - slave # NAME TYPE MTU L2MTU MAX-L2MTU 0 R ether1-gateway ether 1500 1600 4076 1 R ether2-master-local ether 1500 1598 2028 2 ether3-slave-local ether 1500 1598 2028 3 ether4-slave-local ether 1500 1598 2028 4 ether5-slave-local ether 1500 1598 2028 5 R wlan1 wlan 1500 2290 6 R bridge-local bridge 1500 1598 7 R pppoe-out1 pppoe-out 1480
MAC-фильтр на input / ether1-gateway:
[admin@Vugluskr] /interface bridge filter> print Flags: X - disabled, I - invalid, D - dynamic 0 chain=input action=accept in-interface=ether1-gateway in-bridge=bridge-local mac-protocol=pppoe-discovery 1 chain=input action=accept in-interface=ether1-gateway in-bridge=bridge-local mac-protocol=pppoe 2 chain=input action=accept in-interface=ether1-gateway in-bridge=bridge-local mac-protocol=arp 3 chain=input action=drop in-interface=ether1-gateway in-bridge=bridge-local
фигня какая-то. неужто железяка пропустила такой конфиг ? *mac-protocol* (all | *integer*; default: *all*) - the MAC protocol of the packet. Most widely used MAC protocols are (many other exist): *all* - all the MAC protocols *2048* - IP *2054* - ARP *32821* - RARP *32823* - IPX *32923* - AppleTalk (EtherTalk) *33011* - AppleTalk Address Resolution Protocolhttp://www.mikrotik.com/Documentation/manual_2.7/Basic/Glossary.html/#ht1054... (AARP) *33169* - NetBEUI *34525* - IPv6
т.е. запретить на ethernet все, кроме ethertypes == arp, pppoe-discovery и pppoe. Но по факту - статистика пустая, он не ловит в этот фильтр ни одного пакета:
ну правильно - и чего туда пакетам попадать? [admin@Vugluskr] /interface bridge filter> print stats
Flags: X - disabled, I - invalid, D - dynamic # CHAIN ACTION BYTES PACKETS 0 input accept 0 0 1 input accept 0 0 2 input accept 0 0 3 input drop 0 0
Его бутнуть надо, чтобы фильтр активировался?
конечно нет - это ж нормальная операционка.
Volodymyr Lito wrote:
Коллеги, привет
Если мне память не изменяет : interface bridge settings set use-ip-firewall=yes
нужен совет - я рисую файрволл для CPE'шки имени Микротика. Концепт следующий - поскольку провайдер предоставляет PPPoE (ethertypes 0x8863/0x8864), я думаю поступить следующим образом:
прикрыть Ethernet от любого трафика за исключением PPPoE на уровне MAC-фильтра, а айпишные пакетные фильтры прикручивать на pppoe-интерфейсе.
Итак:
Список интерфейсов в наличии:
[admin@Vugluskr]> /interface print Flags: D - dynamic, X - disabled, R - running, S - slave # NAME TYPE MTU L2MTU MAX-L2MTU 0 R ether1-gateway ether 1500 1600 4076 1 R ether2-master-local ether 1500 1598 2028 2 ether3-slave-local ether 1500 1598 2028 3 ether4-slave-local ether 1500 1598 2028 4 ether5-slave-local ether 1500 1598 2028 5 R wlan1 wlan 1500 2290 6 R bridge-local bridge 1500 1598 7 R pppoe-out1 pppoe-out 1480
MAC-фильтр на input / ether1-gateway:
[admin@Vugluskr] /interface bridge filter> print Flags: X - disabled, I - invalid, D - dynamic 0 chain=input action=accept in-interface=ether1-gateway in-bridge=bridge-local mac-protocol=pppoe-discovery 1 chain=input action=accept in-interface=ether1-gateway in-bridge=bridge-local mac-protocol=pppoe 2 chain=input action=accept in-interface=ether1-gateway in-bridge=bridge-local mac-protocol=arp 3 chain=input action=drop in-interface=ether1-gateway in-bridge=bridge-local
т.е. запретить на ethernet все, кроме ethertypes == arp, pppoe-discovery и pppoe. Но по факту - статистика пустая, он не ловит в этот фильтр ни одного пакета:
[admin@Vugluskr] /interface bridge filter> print stats Flags: X - disabled, I - invalid, D - dynamic # CHAIN ACTION BYTES PACKETS 0 input accept 0 0 1 input accept 0 0 2 input accept 0 0 3 input drop 0 0
Его бутнуть надо, чтобы фильтр активировался?
Спасибо.
Hello, Alexandr Turovsky! On Tue, Nov 13, 2012 at 09:28:46AM +0200 tav@imc.org.ua wrote about "Re: [uanog] Microtik filters Q":
Volodymyr Lito wrote:
Коллеги, привет
Если мне память не изменяет : interface bridge settings set use-ip-firewall=yes
не то! бридж это интерфейс ether2-master-local + wlan1 обычно, а ether1-gateway не входит в бридж обычно.
нужен совет - я рисую файрволл для CPE'шки имени Микротика. Концепт следующий - поскольку провайдер предоставляет PPPoE (ethertypes 0x8863/0x8864), я думаю поступить следующим образом:
прикрыть Ethernet от любого трафика за исключением PPPoE на уровне MAC-фильтра, а айпишные пакетные фильтры прикручивать на pppoe-интерфейсе.
Итак:
Список интерфейсов в наличии:
[admin@Vugluskr]> /interface print Flags: D - dynamic, X - disabled, R - running, S - slave # NAME TYPE MTU L2MTU MAX-L2MTU 0 R ether1-gateway ether 1500 1600 4076 1 R ether2-master-local ether 1500 1598 2028 2 ether3-slave-local ether 1500 1598 2028 3 ether4-slave-local ether 1500 1598 2028 4 ether5-slave-local ether 1500 1598 2028 5 R wlan1 wlan 1500 2290 6 R bridge-local bridge 1500 1598 7 R pppoe-out1 pppoe-out 1480
MAC-фильтр на input / ether1-gateway:
[admin@Vugluskr] /interface bridge filter> print Flags: X - disabled, I - invalid, D - dynamic 0 chain=input action=accept in-interface=ether1-gateway in-bridge=bridge-local mac-protocol=pppoe-discovery 1 chain=input action=accept in-interface=ether1-gateway in-bridge=bridge-local mac-protocol=pppoe 2 chain=input action=accept in-interface=ether1-gateway in-bridge=bridge-local mac-protocol=arp 3 chain=input action=drop in-interface=ether1-gateway in-bridge=bridge-local
А зачем тут in-bridge=bridge-local ?
т.е. запретить на ethernet все, кроме ethertypes == arp, pppoe-discovery и pppoe. Но по факту - статистика пустая, он не ловит в этот фильтр ни одного пакета:
[admin@Vugluskr] /interface bridge filter> print stats Flags: X - disabled, I - invalid, D - dynamic # CHAIN ACTION BYTES PACKETS 0 input accept 0 0 1 input accept 0 0 2 input accept 0 0 3 input drop 0 0
Его бутнуть надо, чтобы фильтр активировался?
не надо, imho -- Lystopad Aleksandr
Lystopad Aleksandr wrote:
Hello, Alexandr Turovsky!
On Tue, Nov 13, 2012 at 09:28:46AM +0200 tav@imc.org.ua wrote about "Re: [uanog] Microtik filters Q":
Volodymyr Lito wrote:
Коллеги, привет
Если мне память не изменяет : interface bridge settings set use-ip-firewall=yes
не то! бридж это интерфейс ether2-master-local + wlan1 обычно, а ether1-gateway не входит в бридж обычно.
любая фильтрация на Л2 - включаем бридж-фаервол , эта опция засылает пакеты по все цепочке iptables/ibtables , т.е. в cpu
нужен совет - я рисую файрволл для CPE'шки имени Микротика. Концепт следующий - поскольку провайдер предоставляет PPPoE (ethertypes 0x8863/0x8864), я думаю поступить следующим образом:
прикрыть Ethernet от любого трафика за исключением PPPoE на уровне MAC-фильтра, а айпишные пакетные фильтры прикручивать на pppoe-интерфейсе.
Итак:
Список интерфейсов в наличии:
[admin@Vugluskr]> /interface print Flags: D - dynamic, X - disabled, R - running, S - slave # NAME TYPE MTU L2MTU MAX-L2MTU 0 R ether1-gateway ether 1500 1600 4076 1 R ether2-master-local ether 1500 1598 2028 2 ether3-slave-local ether 1500 1598 2028 3 ether4-slave-local ether 1500 1598 2028 4 ether5-slave-local ether 1500 1598 2028 5 R wlan1 wlan 1500 2290 6 R bridge-local bridge 1500 1598 7 R pppoe-out1 pppoe-out 1480
MAC-фильтр на input / ether1-gateway:
[admin@Vugluskr] /interface bridge filter> print Flags: X - disabled, I - invalid, D - dynamic 0 chain=input action=accept in-interface=ether1-gateway in-bridge=bridge-local mac-protocol=pppoe-discovery 1 chain=input action=accept in-interface=ether1-gateway in-bridge=bridge-local mac-protocol=pppoe 2 chain=input action=accept in-interface=ether1-gateway in-bridge=bridge-local mac-protocol=arp 3 chain=input action=drop in-interface=ether1-gateway in-bridge=bridge-local
А зачем тут in-bridge=bridge-local ?
т.е. запретить на ethernet все, кроме ethertypes == arp, pppoe-discovery и pppoe. Но по факту - статистика пустая, он не ловит в этот фильтр ни одного пакета:
[admin@Vugluskr] /interface bridge filter> print stats Flags: X - disabled, I - invalid, D - dynamic # CHAIN ACTION BYTES PACKETS 0 input accept 0 0 1 input accept 0 0 2 input accept 0 0 3 input drop 0 0
Его бутнуть надо, чтобы фильтр активировался?
не надо, imho
Привет, да, ether1-gateway не входит в bridge-local. Если я порт в этот бридж добавляю - выход в интернет перестает работать (вероятно, блокировка на стороне провайдера - порт становится частью STP-домена и, вероятно, начинает слать в сторону провайдера BPDU... мне бы это не понравилось...) Если сделать отдельный бридж, не активировать в нем STP и включить в него только один порт (ether1-gateway) - то тоже не работает. Вероятно, получаются два раздельных бриджа, не связанных между собой? В логах слишком чисто для того, чтобы делать какую-то вменяемую диагностику. Итого: - поскольку фильтры можно включить только на бридже, то WAN-интерфейс надо подключить к бриджу; - включение его в локальный бридж, а также в свой собственный, по каким-то причинам блокирует доступ к интернет - трасса из локальной сети заканчивается на устройстве. Есть идеи, как можно зафильтровать входящие с внешнего интерфеса пакеты по ethertype? Спасибо. -- /doka On Nov 13, 2012, at 9:37 AM, Lystopad Aleksandr wrote:
Hello, Alexandr Turovsky!
On Tue, Nov 13, 2012 at 09:28:46AM +0200 tav@imc.org.ua wrote about "Re: [uanog] Microtik filters Q":
Volodymyr Lito wrote:
Коллеги, привет
Если мне память не изменяет : interface bridge settings set use-ip-firewall=yes
не то! бридж это интерфейс ether2-master-local + wlan1 обычно, а ether1-gateway не входит в бридж обычно.
нужен совет - я рисую файрволл для CPE'шки имени Микротика. Концепт следующий - поскольку провайдер предоставляет PPPoE (ethertypes 0x8863/0x8864), я думаю поступить следующим образом:
прикрыть Ethernet от любого трафика за исключением PPPoE на уровне MAC-фильтра, а айпишные пакетные фильтры прикручивать на pppoe-интерфейсе.
Итак:
Список интерфейсов в наличии:
[admin@Vugluskr]> /interface print Flags: D - dynamic, X - disabled, R - running, S - slave # NAME TYPE MTU L2MTU MAX-L2MTU 0 R ether1-gateway ether 1500 1600 4076 1 R ether2-master-local ether 1500 1598 2028 2 ether3-slave-local ether 1500 1598 2028 3 ether4-slave-local ether 1500 1598 2028 4 ether5-slave-local ether 1500 1598 2028 5 R wlan1 wlan 1500 2290 6 R bridge-local bridge 1500 1598 7 R pppoe-out1 pppoe-out 1480
MAC-фильтр на input / ether1-gateway:
[admin@Vugluskr] /interface bridge filter> print Flags: X - disabled, I - invalid, D - dynamic 0 chain=input action=accept in-interface=ether1-gateway in-bridge=bridge-local mac-protocol=pppoe-discovery 1 chain=input action=accept in-interface=ether1-gateway in-bridge=bridge-local mac-protocol=pppoe 2 chain=input action=accept in-interface=ether1-gateway in-bridge=bridge-local mac-protocol=arp 3 chain=input action=drop in-interface=ether1-gateway in-bridge=bridge-local
А зачем тут in-bridge=bridge-local ?
т.е. запретить на ethernet все, кроме ethertypes == arp, pppoe-discovery и pppoe. Но по факту - статистика пустая, он не ловит в этот фильтр ни одного пакета:
[admin@Vugluskr] /interface bridge filter> print stats Flags: X - disabled, I - invalid, D - dynamic # CHAIN ACTION BYTES PACKETS 0 input accept 0 0 1 input accept 0 0 2 input accept 0 0 3 input drop 0 0
Его бутнуть надо, чтобы фильтр активировался?
не надо, imho
-- Lystopad Aleksandr
participants (4)
-
Alexandr Turovsky -
Lystopad Aleksandr -
Vasiliy P. Melnik -
Volodymyr Lito