mikrotik bridge port isolation

[Sandorik 21]

добрый день, подскажите, как можно отфильтровать трафик в бридже по портам, изолировать порты, кроме аплинка? правило в фильтре бриджа add chain=forward action=drop in-interface=!ether23 out-interface=!ether23 не работает.

Edited 2019-09-07 14:47:24 by Sandorik

[NaviNavi 86]

12 минут назад, Sandorik сказал:

добрый день, подскажите, как можно отфильтровать трафик в бридже по портам, изолировать порты, кроме аплинка? правило в фильтре бриджа add chain=forward action=drop in-interface=!ether23 out-interface=!ether23 не работает.

В теме выше вам специалисты помогут))))))))

[Sandorik 21]

Простите, в какой теме?

[Dimkers 1,600]

А что аплинк порт делает в бридже?

[NaviNavi 86]

5 минут назад, Sandorik сказал:

Простите, в какой теме?

Вы с ней уже отписывались за капс мэн. Это шутка была)

[Sandorik 21]

47 минут назад, Dimkers сказал:

А что аплинк порт делает в бридже?

Имеется ввиду порт, который идет на роутер

[Dimkers 1,600]

o_O

 

Круто. Т.е. вы купили микротик и используете его как тупарь?

 

Edited 2019-09-07 16:47:28 by Dimkers

[Sandorik 21]

А обычные л2 не используют как умные тупари? Или в вашем понимании что значит тупарь?

[Dimkers 1,600]

1 минуту назад, Sandorik сказал:

вашем понимании что значит тупарь?

А что в вашем понимании значит

 

2 часа назад, Sandorik сказал:

в бридже по портам, изолировать порты, кроме аплинка

?

[nedoinet 440]

49 минут назад, Dimkers сказал:

А что в вашем понимании значит

 

?

Походу человек хочет switchport protected/trafic segmentation  под ros?.

Часто встречаемый вопрос от обладателей crs-106, когда все порты загнаны в бридж для использования как чистый л2

52 минуты назад, Sandorik сказал:

А обычные л2 не используют как умные тупари? Или в вашем понимании что значит тупарь?

Умный тупарь... Это как? vlan switch?

Edited 2019-09-07 17:47:37 by nedoinet

[Dimkers 1,600]

Да ну на, а накукры он правила в фаере строит с drop?

Т.е. он изначально хочет чтоб в порт ниче не летало походу

 

Пусть вначале скажет что ему надо. А не урывки фраз общего понятия.

 

[nedoinet 440]

11 минут назад, Dimkers сказал:

Да ну на, а накукры он правила в фаере строит с drop?

Т.е. он изначально хочет чтоб в порт ниче не летало походу

Ну дык это...негласное правило проникновения в сообщество некротика или некротика в anus - сначала поставить drop input, а потом удивляться.

Edited 2019-09-07 17:58:22 by nedoinet

[Sandorik 21]

Мне нужен аналог длинковского режима сегментации трафика. Чтоб порты друг друга не видели, а видели тока один порт для интернета. Что тут непонятно?

Я описал это в первом сообшении.

И главное, спрашиваю как это сделать правильно под роутерос а не свич ос. Или свитч от длинка)

Edited 2019-09-07 18:46:43 by Sandorik

[Sandorik 21]

50 минут назад, nedoinet сказал:

Ну дык это...негласное правило проникновения в сообщество некротика или некротика в anus - сначала поставить drop input, а потом удивляться.

Разве я написал что там цепочка input? Там четко написано forward

[olnet 52]

4 часа назад, Sandorik сказал:

добрый день, подскажите, как можно отфильтровать трафик в бридже по портам, изолировать порты, кроме аплинка? правило в фильтре бриджа add chain=forward action=drop in-interface=!ether23 out-interface=!ether23 не работает.



/ip firewall filter

add action=accept chain=forward connection-state=established comment="Allow established"

add action=accept chain=forward connection-state=related comment="Allow related"

add action=accept chain=forward out-interface=ether1 comment="Allow WAN"

add action=drop chain=forward comment="Drop everything else"

На практике не проверял. 

[nedoinet 440]

21 минуту назад, Sandorik сказал:

Мне нужен аналог длинковского режима сегментации трафика. Чтоб порты друг друга не видели, а видели тока один порт для интернета. Что тут непонятно?

Я описал это в первом сообшении.

И главное, спрашиваю как это сделать правильно под роутерос а не свич ос. Или свитч от длинка)

Вот курите. Я бы не стал баловатся такими вещами не понимая как фунциклирует рос и на каком железе все это вертится. Чего там со свитч-чипами на вашей шелезяке?

[foreverok 95]

47 минут назад, Sandorik сказал:

Мне нужен аналог длинковского режима сегментации трафика. Чтоб порты друг друга не видели, а видели тока один порт для интернета. Что тут непонятно?

Я описал это в первом сообшении.

И главное, спрашиваю как это сделать правильно под роутерос а не свич ос. Или свитч от длинка)

Вы не там спрашиваете )

Если вопросы по ROS то на форум микротика.

Если вопросы по dlink на форум длинк.

 

Ну или заплатите тому, кто знает ) 

[Diter_ua 79]

порты в бридже изолируются через Horizon

по подсетях можно изолировать в Route - Rules

Edited 2019-09-07 19:54:47 by Diter_ua

[Dimkers 1,600]

9 часов назад, Sandorik сказал:

Мне нужен аналог длинковского режима сегментации трафика. Чтоб порты друг друга не видели, а видели тока один порт для интернета. Что тут непонятно?

Я описал это в первом сообшении.

В первом сообщении написан бред сивой кобылы.

Если ориентировать на первое сообщение, то ответ: 

уберитеиз бриджа аплинк порт

[Туйон 1,265]

13 часов назад, Sandorik сказал:

правило в фильтре бриджа add chain=forward action=drop in-interface=!ether23 out-interface=!ether23 не работает

Чтобы работали правила нужно на всех портах, входящих в бридж, отключить Hardware Offload

Встречал такое.

Попробуйте, отпишитесь.

 

10 часов назад, nedoinet сказал:

Походу человек хочет switchport protected/trafic segmentation  под ros?.

Часто встречаемый вопрос от обладателей crs-106, когда все порты загнаны в бридж для использования как чистый л2

И что тут удивительного? К слову, под ROS управляются и свитчи серии CRS, там есть вкладка Switch, в ней дохера всего.

8 часов назад, Diter_ua сказал:

порты в бридже изолируются через Horizon

 

А вот тут поподробнее, коллега.

Я с таким ещё дела не имел.

Поделитесь опытом, если не тяжело.

[Sandorik 21]

38 минут назад, Dimkers сказал:

В первом сообщении написан бред сивой кобылы.

Если ориентировать на первое сообщение, то ответ: 

уберитеиз бриджа аплинк порт

Не пойму что для вас аплинк порт? Для меня это порт, который подключен к вышестоящему оборудованию, например к роутеру. Я так и написал, что хотел бы средствами ros изолировать порты на устройстве, кроме аплинка.

18 минут назад, Туйон сказал:

И что тут удивительного? К слову, под ROS управляются и свитчи серии CRS, там есть вкладка Switch, в ней дохера всего.

Вот вот. Наверно просто человек не знает, что некоторые свичи от микротика могут управляться ros.

21 минуту назад, Туйон сказал:

14 часов назад, Sandorik сказал:

правило в фильтре бриджа add chain=forward action=drop in-interface=!ether23 out-interface=!ether23 не работает

Чтобы работали правила нужно на всех портах, входящих в бридж, отключить Hardware Offload

Встречал такое.

Попробуйте, отпишитесь

Спасибо за совет, попробую, отпишусь!

[Туйон 1,265]

Блин!

Век живи - век учись!

Есть у меня микрот, на нем поднят НАТ, а там бридж для клиентов разбит на 4 интерфейса. И среди них, скажем так, нет "аплинкового", чтобы сделать правило через фильтры, как писали выше. Выставил всем портам этого бриджа Horizon = 1, и между ними трафик больше не бегает! Красота!

[nedoinet 440]

1 час назад, Туйон сказал:

что тут удивительного? К слову, под ROS управляются и свитчи серии CRS, там есть вкладка Switch, в ней дохера всего.

Самые частые представители - crs125, crs106 и сцуко 317. Только вот юзатели этих свитчей зачастую сначала покупают, а потом думают. Особенно 106го коих я лично поставил с добрых два десятка и уникалы с 317м.

Как по мне если гонять чистый л2 разумнее использовать swos если это возможно, пусть она и укуреная.

А еще есть чудо компоновка от микротов когда в мутаторе 2 свитч-чипа и общаются через проц или в некоторых случаях через процик, а в некоторых напрямую в зависимости от конфига нашкрябаного корявыми ручонками.

1 час назад, Sandorik сказал:

Вот вот. Наверно просто человек не знает, что некоторые свичи от микротика могут управляться ros.

Буду иметь ввиду. Я думал шо рос тока на мобилы ставят.

Edited 2019-09-08 06:38:27 by nedoinet

[Dimkers 1,600]

4 часа назад, Sandorik сказал:

Я так и написал, что хотел бы средствами ros изолировать порты на устройстве, кроме аплинка. 

Во всем остальном мире вланы есть.

4 часа назад, Sandorik сказал:

человек не знает, что некоторые свичи от микротика могут управляться ros. 

Человек знает, что вы только вначале пути. И рано или поздно вы уйдете от этих свичей.

 

 

[Sandorik 21]

Влан на пользователя в сети на 20 человек? У меня нет железяки на чем их терминировать, а если на микротике еще одном, то это тотже бридж. Или подскажите как?