Перейти до

mikrotik bridge port isolation


Рекомендованные сообщения

добрый день, подскажите, как можно отфильтровать трафик в бридже по портам, изолировать порты, кроме аплинка? правило в фильтре бриджа add chain=forward action=drop in-interface=!ether23 out-interface=!ether23 не работает.

Відредаговано Sandorik
Ссылка на сообщение
Поделиться на других сайтах
  • Відповіді 59
  • Створено
  • Остання відповідь

Top Posters In This Topic

Top Posters In This Topic

Popular Posts

Ну дык это...негласное правило проникновения в сообщество некротика или некротика в anus - сначала поставить drop input, а потом удивляться.

порты в бридже изолируются через Horizon по подсетях можно изолировать в Route - Rules

Блин! Век живи - век учись! Есть у меня микрот, на нем поднят НАТ, а там бридж для клиентов разбит на 4 интерфейса. И среди них, скажем так, нет "аплинкового", чтобы сделать правило через фи

12 минут назад, Sandorik сказал:

добрый день, подскажите, как можно отфильтровать трафик в бридже по портам, изолировать порты, кроме аплинка? правило в фильтре бриджа add chain=forward action=drop in-interface=!ether23 out-interface=!ether23 не работает.

В теме выше вам специалисты помогут))))))))

Ссылка на сообщение
Поделиться на других сайтах
47 минут назад, Dimkers сказал:

А что аплинк порт делает в бридже?

Имеется ввиду порт, который идет на роутер

Ссылка на сообщение
Поделиться на других сайтах


o_O

 

Круто. Т.е. вы купили микротик и используете его как тупарь? :)

 

Відредаговано Dimkers
Ссылка на сообщение
Поделиться на других сайтах
1 минуту назад, Sandorik сказал:

вашем понимании что значит тупарь?

А что в вашем понимании значит

 

2 часа назад, Sandorik сказал:

в бридже по портам, изолировать порты, кроме аплинка

?

Ссылка на сообщение
Поделиться на других сайтах
49 минут назад, Dimkers сказал:

А что в вашем понимании значит

 

?

Походу человек хочет switchport protected/trafic segmentation  под ros😱.

Часто встречаемый вопрос от обладателей crs-106, когда все порты загнаны в бридж для использования как чистый л2

52 минуты назад, Sandorik сказал:

А обычные л2 не используют как умные тупари? Или в вашем понимании что значит тупарь?

Умный тупарь... Это как? vlan switch?

Відредаговано nedoinet
Ссылка на сообщение
Поделиться на других сайтах

Да ну на, а накукры он правила в фаере строит с drop?

Т.е. он изначально хочет чтоб в порт ниче не летало походу :)

 

Пусть вначале скажет что ему надо. А не урывки фраз общего понятия.

 

Ссылка на сообщение
Поделиться на других сайтах
11 минут назад, Dimkers сказал:

Да ну на, а накукры он правила в фаере строит с drop?

Т.е. он изначально хочет чтоб в порт ниче не летало походу :)

Ну дык это...негласное правило проникновения в сообщество некротика или некротика в anus - сначала поставить drop input, а потом удивляться.

Відредаговано nedoinet
  • Haha 1
Ссылка на сообщение
Поделиться на других сайтах
Опубліковано: (відредаговано)

Мне нужен аналог длинковского режима сегментации трафика. Чтоб порты друг друга не видели, а видели тока один порт для интернета. Что тут непонятно?

Я описал это в первом сообшении.

И главное, спрашиваю как это сделать правильно под роутерос а не свич ос. Или свитч от длинка)

Відредаговано Sandorik
Ссылка на сообщение
Поделиться на других сайтах
50 минут назад, nedoinet сказал:

Ну дык это...негласное правило проникновения в сообщество некротика или некротика в anus - сначала поставить drop input, а потом удивляться.

Разве я написал что там цепочка input? Там четко написано forward

Ссылка на сообщение
Поделиться на других сайтах
4 часа назад, Sandorik сказал:

добрый день, подскажите, как можно отфильтровать трафик в бридже по портам, изолировать порты, кроме аплинка? правило в фильтре бриджа add chain=forward action=drop in-interface=!ether23 out-interface=!ether23 не работает.



/ip firewall filter

add action=accept chain=forward connection-state=established comment="Allow established"

add action=accept chain=forward connection-state=related comment="Allow related"

add action=accept chain=forward out-interface=ether1 comment="Allow WAN"

add action=drop chain=forward comment="Drop everything else"

На практике не проверял. 

Ссылка на сообщение
Поделиться на других сайтах
21 минуту назад, Sandorik сказал:

Мне нужен аналог длинковского режима сегментации трафика. Чтоб порты друг друга не видели, а видели тока один порт для интернета. Что тут непонятно?

Я описал это в первом сообшении.

И главное, спрашиваю как это сделать правильно под роутерос а не свич ос. Или свитч от длинка)

Вот курите. Я бы не стал баловатся такими вещами не понимая как фунциклирует рос и на каком железе все это вертится. Чего там со свитч-чипами на вашей шелезяке?

Ссылка на сообщение
Поделиться на других сайтах
47 минут назад, Sandorik сказал:

Мне нужен аналог длинковского режима сегментации трафика. Чтоб порты друг друга не видели, а видели тока один порт для интернета. Что тут непонятно?

Я описал это в первом сообшении.

И главное, спрашиваю как это сделать правильно под роутерос а не свич ос. Или свитч от длинка)

Вы не там спрашиваете )

Если вопросы по ROS то на форум микротика.

Если вопросы по dlink на форум длинк.

 

Ну или заплатите тому, кто знает ) 

Ссылка на сообщение
Поделиться на других сайтах

порты в бридже изолируются через Horizon

по подсетях можно изолировать в Route - Rules

Відредаговано Diter_ua
  • Thanks 1
Ссылка на сообщение
Поделиться на других сайтах
9 часов назад, Sandorik сказал:

Мне нужен аналог длинковского режима сегментации трафика. Чтоб порты друг друга не видели, а видели тока один порт для интернета. Что тут непонятно?

Я описал это в первом сообшении.

В первом сообщении написан бред сивой кобылы.

Если ориентировать на первое сообщение, то ответ: 

уберитеиз бриджа аплинк порт :)

Ссылка на сообщение
Поделиться на других сайтах
13 часов назад, Sandorik сказал:

правило в фильтре бриджа add chain=forward action=drop in-interface=!ether23 out-interface=!ether23 не работает

Чтобы работали правила нужно на всех портах, входящих в бридж, отключить Hardware Offload

Встречал такое.

Попробуйте, отпишитесь.

 

10 часов назад, nedoinet сказал:

Походу человек хочет switchport protected/trafic segmentation  под ros😱.

Часто встречаемый вопрос от обладателей crs-106, когда все порты загнаны в бридж для использования как чистый л2

И что тут удивительного? К слову, под ROS управляются и свитчи серии CRS, там есть вкладка Switch, в ней дохера всего.

8 часов назад, Diter_ua сказал:

порты в бридже изолируются через Horizon

 

А вот тут поподробнее, коллега.

Я с таким ещё дела не имел.

Поделитесь опытом, если не тяжело.

Ссылка на сообщение
Поделиться на других сайтах
38 минут назад, Dimkers сказал:

В первом сообщении написан бред сивой кобылы.

Если ориентировать на первое сообщение, то ответ: 

уберитеиз бриджа аплинк порт :)

Не пойму что для вас аплинк порт? Для меня это порт, который подключен к вышестоящему оборудованию, например к роутеру. Я так и написал, что хотел бы средствами ros изолировать порты на устройстве, кроме аплинка.

18 минут назад, Туйон сказал:

И что тут удивительного? К слову, под ROS управляются и свитчи серии CRS, там есть вкладка Switch, в ней дохера всего.

Вот вот. Наверно просто человек не знает, что некоторые свичи от микротика могут управляться ros.

21 минуту назад, Туйон сказал:
14 часов назад, Sandorik сказал:

правило в фильтре бриджа add chain=forward action=drop in-interface=!ether23 out-interface=!ether23 не работает

Чтобы работали правила нужно на всех портах, входящих в бридж, отключить Hardware Offload

Встречал такое.

Попробуйте, отпишитесь

Спасибо за совет, попробую, отпишусь!

Ссылка на сообщение
Поделиться на других сайтах

Блин!

Век живи - век учись!

Есть у меня микрот, на нем поднят НАТ, а там бридж для клиентов разбит на 4 интерфейса. И среди них, скажем так, нет "аплинкового", чтобы сделать правило через фильтры, как писали выше. Выставил всем портам этого бриджа Horizon = 1, и между ними трафик больше не бегает! Красота!

  • Like 1
Ссылка на сообщение
Поделиться на других сайтах
1 час назад, Туйон сказал:

что тут удивительного? К слову, под ROS управляются и свитчи серии CRS, там есть вкладка Switch, в ней дохера всего.

Самые частые представители - crs125, crs106 и сцуко 317. Только вот юзатели этих свитчей зачастую сначала покупают, а потом думают. Особенно 106го коих я лично поставил с добрых два десятка и уникалы с 317м.

Как по мне если гонять чистый л2 разумнее использовать swos если это возможно, пусть она и укуреная.

А еще есть чудо компоновка от микротов когда в мутаторе 2 свитч-чипа и общаются через проц или в некоторых случаях через процик, а в некоторых напрямую в зависимости от конфига нашкрябаного корявыми ручонками.

1 час назад, Sandorik сказал:

Вот вот. Наверно просто человек не знает, что некоторые свичи от микротика могут управляться ros.

Буду иметь ввиду. Я думал шо рос тока на мобилы ставят.

Відредаговано nedoinet
Ссылка на сообщение
Поделиться на других сайтах
4 часа назад, Sandorik сказал:

Я так и написал, что хотел бы средствами ros изолировать порты на устройстве, кроме аплинка. 

Во всем остальном мире вланы есть.

4 часа назад, Sandorik сказал:

человек не знает, что некоторые свичи от микротика могут управляться ros. 

Человек знает, что вы только вначале пути. И рано или поздно вы уйдете от этих свичей.

 

 

  • Like 1
Ссылка на сообщение
Поделиться на других сайтах

Влан на пользователя в сети на 20 человек? У меня нет железяки на чем их терминировать, а если на микротике еще одном, то это тотже бридж. Или подскажите как?

Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Вхід

Уже зарегистрированы? Войдите здесь.

Войти сейчас
  • Зараз на сторінці   0 користувачів

    Немає користувачів, що переглядають цю сторінку.


×
×
  • Створити нове...