Sandorik 21 Опубликовано: 2019-09-07 14:45:49 Share Опубликовано: 2019-09-07 14:45:49 (відредаговано) добрый день, подскажите, как можно отфильтровать трафик в бридже по портам, изолировать порты, кроме аплинка? правило в фильтре бриджа add chain=forward action=drop in-interface=!ether23 out-interface=!ether23 не работает. Відредаговано 2019-09-07 14:47:24 Sandorik Ссылка на сообщение Поделиться на других сайтах
NaviNavi 86 Опубліковано: 2019-09-07 14:59:17 Share Опубліковано: 2019-09-07 14:59:17 12 минут назад, Sandorik сказал: добрый день, подскажите, как можно отфильтровать трафик в бридже по портам, изолировать порты, кроме аплинка? правило в фильтре бриджа add chain=forward action=drop in-interface=!ether23 out-interface=!ether23 не работает. В теме выше вам специалисты помогут)))))))) Ссылка на сообщение Поделиться на других сайтах
Sandorik 21 Опубліковано: 2019-09-07 15:09:02 Автор Share Опубліковано: 2019-09-07 15:09:02 Простите, в какой теме? Ссылка на сообщение Поделиться на других сайтах
Dimkers 1 600 Опубліковано: 2019-09-07 15:13:59 Share Опубліковано: 2019-09-07 15:13:59 А что аплинк порт делает в бридже? Ссылка на сообщение Поделиться на других сайтах
NaviNavi 86 Опубліковано: 2019-09-07 15:14:45 Share Опубліковано: 2019-09-07 15:14:45 5 минут назад, Sandorik сказал: Простите, в какой теме? Вы с ней уже отписывались за капс мэн. Это шутка была) Ссылка на сообщение Поделиться на других сайтах
Sandorik 21 Опубліковано: 2019-09-07 16:01:59 Автор Share Опубліковано: 2019-09-07 16:01:59 47 минут назад, Dimkers сказал: А что аплинк порт делает в бридже? Имеется ввиду порт, который идет на роутер Ссылка на сообщение Поделиться на других сайтах
Dimkers 1 600 Опубліковано: 2019-09-07 16:46:12 Share Опубліковано: 2019-09-07 16:46:12 (відредаговано) o_O Круто. Т.е. вы купили микротик и используете его как тупарь? Відредаговано 2019-09-07 16:47:28 Dimkers Ссылка на сообщение Поделиться на других сайтах
Sandorik 21 Опубліковано: 2019-09-07 16:53:40 Автор Share Опубліковано: 2019-09-07 16:53:40 А обычные л2 не используют как умные тупари? Или в вашем понимании что значит тупарь? Ссылка на сообщение Поделиться на других сайтах
Dimkers 1 600 Опубліковано: 2019-09-07 16:56:35 Share Опубліковано: 2019-09-07 16:56:35 1 минуту назад, Sandorik сказал: вашем понимании что значит тупарь? А что в вашем понимании значит 2 часа назад, Sandorik сказал: в бридже по портам, изолировать порты, кроме аплинка ? Ссылка на сообщение Поделиться на других сайтах
nedoinet 440 Опубліковано: 2019-09-07 17:42:46 Share Опубліковано: 2019-09-07 17:42:46 (відредаговано) 49 минут назад, Dimkers сказал: А что в вашем понимании значит ? Походу человек хочет switchport protected/trafic segmentation под ros?. Часто встречаемый вопрос от обладателей crs-106, когда все порты загнаны в бридж для использования как чистый л2 52 минуты назад, Sandorik сказал: А обычные л2 не используют как умные тупари? Или в вашем понимании что значит тупарь? Умный тупарь... Это как? vlan switch? Відредаговано 2019-09-07 17:47:37 nedoinet Ссылка на сообщение Поделиться на других сайтах
Dimkers 1 600 Опубліковано: 2019-09-07 17:46:35 Share Опубліковано: 2019-09-07 17:46:35 Да ну на, а накукры он правила в фаере строит с drop? Т.е. он изначально хочет чтоб в порт ниче не летало походу Пусть вначале скажет что ему надо. А не урывки фраз общего понятия. Ссылка на сообщение Поделиться на других сайтах
nedoinet 440 Опубліковано: 2019-09-07 17:58:04 Share Опубліковано: 2019-09-07 17:58:04 (відредаговано) 11 минут назад, Dimkers сказал: Да ну на, а накукры он правила в фаере строит с drop? Т.е. он изначально хочет чтоб в порт ниче не летало походу Ну дык это...негласное правило проникновения в сообщество некротика или некротика в anus - сначала поставить drop input, а потом удивляться. Відредаговано 2019-09-07 17:58:22 nedoinet 1 Ссылка на сообщение Поделиться на других сайтах
Sandorik 21 Опубліковано: 2019-09-07 18:40:02 Автор Share Опубліковано: 2019-09-07 18:40:02 (відредаговано) Мне нужен аналог длинковского режима сегментации трафика. Чтоб порты друг друга не видели, а видели тока один порт для интернета. Что тут непонятно? Я описал это в первом сообшении. И главное, спрашиваю как это сделать правильно под роутерос а не свич ос. Или свитч от длинка) Відредаговано 2019-09-07 18:46:43 Sandorik Ссылка на сообщение Поделиться на других сайтах
Sandorik 21 Опубліковано: 2019-09-07 18:49:23 Автор Share Опубліковано: 2019-09-07 18:49:23 50 минут назад, nedoinet сказал: Ну дык это...негласное правило проникновения в сообщество некротика или некротика в anus - сначала поставить drop input, а потом удивляться. Разве я написал что там цепочка input? Там четко написано forward Ссылка на сообщение Поделиться на других сайтах
olnet 52 Опубліковано: 2019-09-07 19:01:09 Share Опубліковано: 2019-09-07 19:01:09 4 часа назад, Sandorik сказал: добрый день, подскажите, как можно отфильтровать трафик в бридже по портам, изолировать порты, кроме аплинка? правило в фильтре бриджа add chain=forward action=drop in-interface=!ether23 out-interface=!ether23 не работает. /ip firewall filter add action=accept chain=forward connection-state=established comment="Allow established" add action=accept chain=forward connection-state=related comment="Allow related" add action=accept chain=forward out-interface=ether1 comment="Allow WAN" add action=drop chain=forward comment="Drop everything else" На практике не проверял. Ссылка на сообщение Поделиться на других сайтах
nedoinet 440 Опубліковано: 2019-09-07 19:03:23 Share Опубліковано: 2019-09-07 19:03:23 21 минуту назад, Sandorik сказал: Мне нужен аналог длинковского режима сегментации трафика. Чтоб порты друг друга не видели, а видели тока один порт для интернета. Что тут непонятно? Я описал это в первом сообшении. И главное, спрашиваю как это сделать правильно под роутерос а не свич ос. Или свитч от длинка) Вот курите. Я бы не стал баловатся такими вещами не понимая как фунциклирует рос и на каком железе все это вертится. Чего там со свитч-чипами на вашей шелезяке? Ссылка на сообщение Поделиться на других сайтах
foreverok 95 Опубліковано: 2019-09-07 19:31:26 Share Опубліковано: 2019-09-07 19:31:26 47 минут назад, Sandorik сказал: Мне нужен аналог длинковского режима сегментации трафика. Чтоб порты друг друга не видели, а видели тока один порт для интернета. Что тут непонятно? Я описал это в первом сообшении. И главное, спрашиваю как это сделать правильно под роутерос а не свич ос. Или свитч от длинка) Вы не там спрашиваете ) Если вопросы по ROS то на форум микротика. Если вопросы по dlink на форум длинк. Ну или заплатите тому, кто знает ) Ссылка на сообщение Поделиться на других сайтах
Diter_ua 79 Опубліковано: 2019-09-07 19:52:22 Share Опубліковано: 2019-09-07 19:52:22 (відредаговано) порты в бридже изолируются через Horizon по подсетях можно изолировать в Route - Rules Відредаговано 2019-09-07 19:54:47 Diter_ua 1 Ссылка на сообщение Поделиться на других сайтах
Dimkers 1 600 Опубліковано: 2019-09-08 04:14:44 Share Опубліковано: 2019-09-08 04:14:44 9 часов назад, Sandorik сказал: Мне нужен аналог длинковского режима сегментации трафика. Чтоб порты друг друга не видели, а видели тока один порт для интернета. Что тут непонятно? Я описал это в первом сообшении. В первом сообщении написан бред сивой кобылы. Если ориентировать на первое сообщение, то ответ: уберитеиз бриджа аплинк порт Ссылка на сообщение Поделиться на других сайтах
Туйон 1 265 Опубліковано: 2019-09-08 04:43:59 Share Опубліковано: 2019-09-08 04:43:59 13 часов назад, Sandorik сказал: правило в фильтре бриджа add chain=forward action=drop in-interface=!ether23 out-interface=!ether23 не работает Чтобы работали правила нужно на всех портах, входящих в бридж, отключить Hardware Offload Встречал такое. Попробуйте, отпишитесь. 10 часов назад, nedoinet сказал: Походу человек хочет switchport protected/trafic segmentation под ros?. Часто встречаемый вопрос от обладателей crs-106, когда все порты загнаны в бридж для использования как чистый л2 И что тут удивительного? К слову, под ROS управляются и свитчи серии CRS, там есть вкладка Switch, в ней дохера всего. 8 часов назад, Diter_ua сказал: порты в бридже изолируются через Horizon А вот тут поподробнее, коллега. Я с таким ещё дела не имел. Поделитесь опытом, если не тяжело. Ссылка на сообщение Поделиться на других сайтах
Sandorik 21 Опубліковано: 2019-09-08 05:02:09 Автор Share Опубліковано: 2019-09-08 05:02:09 38 минут назад, Dimkers сказал: В первом сообщении написан бред сивой кобылы. Если ориентировать на первое сообщение, то ответ: уберитеиз бриджа аплинк порт Не пойму что для вас аплинк порт? Для меня это порт, который подключен к вышестоящему оборудованию, например к роутеру. Я так и написал, что хотел бы средствами ros изолировать порты на устройстве, кроме аплинка. 18 минут назад, Туйон сказал: И что тут удивительного? К слову, под ROS управляются и свитчи серии CRS, там есть вкладка Switch, в ней дохера всего. Вот вот. Наверно просто человек не знает, что некоторые свичи от микротика могут управляться ros. 21 минуту назад, Туйон сказал: 14 часов назад, Sandorik сказал: правило в фильтре бриджа add chain=forward action=drop in-interface=!ether23 out-interface=!ether23 не работает Чтобы работали правила нужно на всех портах, входящих в бридж, отключить Hardware Offload Встречал такое. Попробуйте, отпишитесь Спасибо за совет, попробую, отпишусь! Ссылка на сообщение Поделиться на других сайтах
Туйон 1 265 Опубліковано: 2019-09-08 05:20:03 Share Опубліковано: 2019-09-08 05:20:03 Блин! Век живи - век учись! Есть у меня микрот, на нем поднят НАТ, а там бридж для клиентов разбит на 4 интерфейса. И среди них, скажем так, нет "аплинкового", чтобы сделать правило через фильтры, как писали выше. Выставил всем портам этого бриджа Horizon = 1, и между ними трафик больше не бегает! Красота! 1 Ссылка на сообщение Поделиться на других сайтах
nedoinet 440 Опубліковано: 2019-09-08 06:33:21 Share Опубліковано: 2019-09-08 06:33:21 (відредаговано) 1 час назад, Туйон сказал: что тут удивительного? К слову, под ROS управляются и свитчи серии CRS, там есть вкладка Switch, в ней дохера всего. Самые частые представители - crs125, crs106 и сцуко 317. Только вот юзатели этих свитчей зачастую сначала покупают, а потом думают. Особенно 106го коих я лично поставил с добрых два десятка и уникалы с 317м. Как по мне если гонять чистый л2 разумнее использовать swos если это возможно, пусть она и укуреная. А еще есть чудо компоновка от микротов когда в мутаторе 2 свитч-чипа и общаются через проц или в некоторых случаях через процик, а в некоторых напрямую в зависимости от конфига нашкрябаного корявыми ручонками. 1 час назад, Sandorik сказал: Вот вот. Наверно просто человек не знает, что некоторые свичи от микротика могут управляться ros. Буду иметь ввиду. Я думал шо рос тока на мобилы ставят. Відредаговано 2019-09-08 06:38:27 nedoinet Ссылка на сообщение Поделиться на других сайтах
Dimkers 1 600 Опубліковано: 2019-09-08 09:07:08 Share Опубліковано: 2019-09-08 09:07:08 4 часа назад, Sandorik сказал: Я так и написал, что хотел бы средствами ros изолировать порты на устройстве, кроме аплинка. Во всем остальном мире вланы есть. 4 часа назад, Sandorik сказал: человек не знает, что некоторые свичи от микротика могут управляться ros. Человек знает, что вы только вначале пути. И рано или поздно вы уйдете от этих свичей. 1 Ссылка на сообщение Поделиться на других сайтах
Sandorik 21 Опубліковано: 2019-09-08 09:14:53 Автор Share Опубліковано: 2019-09-08 09:14:53 Влан на пользователя в сети на 20 человек? У меня нет железяки на чем их терминировать, а если на микротике еще одном, то это тотже бридж. Или подскажите как? Ссылка на сообщение Поделиться на других сайтах
Рекомендованные сообщения
Создайте аккаунт или войдите в него для комментирования
Вы должны быть пользователем, чтобы оставить комментарий
Создать аккаунт
Зарегистрируйтесь для получения аккаунта. Это просто!
Зарегистрировать аккаунтВхід
Уже зарегистрированы? Войдите здесь.
Войти сейчас