straiker11 Опубликовано 14 октября, 2015 · Жалоба ДОброго времени суток. Подскажите новичку по следующей ситуации - есть mikrotik rb2011 который смотрит в сторону сети сторонней организации. Необходимо отсечь доступ к локалке на этом порту всем кроме трех устройств. В голову приходит только блокировка по МАС ибо ip меняется. Как это реализовать??? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Mindaugas Опубликовано 14 октября, 2015 (изменено) · Жалоба ? ip firewall filter add chain=input src-mac-address=00:0C:29:32:E6:92 action=accept (Allow User ) ip firewall filter add chain=input src-mac-address=00:0C:29:32:E6:93 action=accept (Allow User ) ip firewall filter add chain=input src-mac-address=00:0C:29:32:E6:94 action=accept (Allow User ) ip firewall filter add chain=input src-address=192.168.139.0/24 action=drop (all users deny) Изменено 14 октября, 2015 пользователем Mindaugas Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
verhoum Опубликовано 14 октября, 2015 · Жалоба pppoe клиент на устройствах есть? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
straiker11 Опубликовано 14 октября, 2015 · Жалоба ? ip firewall filter add chain=input src-mac-address=00:0C:29:32:E6:92 action=accept (Allow User ) ip firewall filter add chain=input src-mac-address=00:0C:29:32:E6:93 action=accept (Allow User ) ip firewall filter add chain=input src-mac-address=00:0C:29:32:E6:94 action=accept (Allow User ) ip firewall filter add chain=input src-address=192.168.139.0/24 action=drop (all users deny) Это понятно. Я наверно не корректно рассказал о проблеме - дропанье всех кроме трех маков должно происходить только на одном физическом порту. На всех остальных портах без ограничений pppoe клиент на устройствах есть? нет нету Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kaist Опубликовано 14 октября, 2015 · Жалоба Ну так укажите ещё и интерфейс в правилах фаера. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
straiker11 Опубликовано 14 октября, 2015 (изменено) · Жалоба Ну так укажите ещё и интерфейс в правилах фаера. in bridge port или out? ругается in bridge port matcher not possible when bridge use ip firewall is disabled. Де это включается?? Изменено 14 октября, 2015 пользователем straiker11 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Mindaugas Опубликовано 15 октября, 2015 · Жалоба straiker11 Vlan - укажите там порт, потом дроп на порту....или тоже самое с bridge Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kaist Опубликовано 15 октября, 2015 · Жалоба Ну так укажите ещё и интерфейс в правилах фаера. in bridge port или out? ругается in bridge port matcher not possible when bridge use ip firewall is disabled. Де это включается?? interface bridge settings set use-ip-firewall=yes НО... Вам нужно на бридже или на физическом интерфейсе запретить маки? если на интерфейсе, то в правиле фаервола и указываете его в качестве in interface Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 18 октября, 2015 · Жалоба Вообще у микротика есть на бридже фильтры, в том числе и по маку. Так же там есть маркировка пакетов. Если работает роутинг, можно на бридже пометить пакеты, а потом задропать их в файрволе. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...