mikrotik firewall src. mac address

[fastvd 62]

привет коллеги. вот есть некоторая проблемс. есть МТ450Г, в езер1 воткнут в свитч котоырй видит всю сетку, а в езер2 включен сервер с виндой к которому нужно ограничить доступ.

так вот, все как бы ок, но некоторым машинам с сети нужно закрыть\открыть доступ не по ІР, а по МАКу. и тут почему то проблема. с фаерволом от МТ много опыта не имел, но тут сложного ничего нету и все как бы понятно, но почему не пускает по маку?вот скрины. все правила только forward, для чего input и output пока не доганяю, но логично что если по ІР все работает через forward то и по МАКу все аналогично должно быть. вот скрины смотрите.слева правило на ДРОП для всех на такой то адрес, а справа АЦЦЕПТ на этот адрес но для конкретного МАКа по конкретному протоколу\порту....при чём если не указывать протокол\порт - все равно не работает.

куда рыть?

[Ромка 567]

http://wiki.mikrotik.com/wiki/Manual:IP/Firewall/Filter

[fastvd 62]

http://wiki.mikrotik...Firewall/Filter

самый умный?

[Prime 51]

у тебя 2 логических интерфейса - ether1 и ether2

если они не стоят в бридже, то твой сервер, включенный в ether2, никогда в жизни не увидит ARP запросы с ether1

[fastvd 62]

у тебя 2 логических интерфейса - ether1 и ether2

если они не стоят в бридже, то твой сервер, включенный в ether2, никогда в жизни не увидит ARP запросы с ether1

интерфесов много,точнее ВЛАНОВ,езери в бридже, все видится, все по ІР запрещается и позволяется, все работает по всех портах,протоколах что нужно,только не работает по МАКу.

[YuSHa 59]

попробуйте зайти в бриджи и нажать "settings"? там "use IP firewall" либо же в самом бридже сделать правило в "filters"

[fastvd 62]

попробуйте зайти в бриджи и нажать "settings"? там "use IP firewall" либо же в самом бридже сделать правило в "filters"

хорошо, объясним немножко по подробней - я немножко много понимаю в МТ, точнее сказать-что я до хрена понимаю в МТ, и стандартные ответы на уровни начальных знаний ответ на вопрос не дадут, тут нужен кто-то кто конкретно решал проблемы - почему АЦЦЕС по ІР проходит,а по МАКу нет! Хотя на стенде когда был тупо мой ноут и роутер и МТ между ними как фаервол - я все полностью запрещал\позволял, а когда поставил в рабочую сеть на рабочий сервер - по ІР все работает, а по МАКу нет. на вкладке БРИДЖ =СЕТТИНГС стоят все 3 галки, так как у нас около 60 ВЛАНов, и все терминируется на РРРоЕ на фряшные сервера, хотя это не важно, интересно что когда снять галку с Use IP Firewall for VLAN то правило вообще перестают работать ВСЕ фильтры. вот мое чутью говорить рыть в эту сторону, но реально все перепробовал, так как реально на стенде все с пол пинка заработало.

[fastvd 62]

итак ..есть продвижения...переглядел все АРП записи которые попадают в МТ, и почему то я в МТ в АРП попадаю с МАК адресом НАС сервера через который в данный момент подключен, а не через МАК моего ПК...как только прописываю этот МАК - сразу проходит правило, НО нам такое не нужно,так как все абоны которые подключены на этот НАС аналогично могут зайти...вопрос - почему я свечусь с МАКом НАСа, а не со своим?

П.С.: всем абонам выдается реальны ІР,НАС=freebsd+mpd5