Jump to content
Калькуляторы

Как закрыть доступ к внешнему каналу для определенного порта

Задача следующая - роутер Mikrotik 2011, входящий порт от провайдера ether1 (авторизация по статическому IP), порт ether3 - за ним сегмент сети к которому нужно получать доступ с остальных ether4-10, но при этом закрыть для 3-го порта доступ в инет и из инета на тот же 3-й порт.

Пытался прописать правило через мастер выбирая sourse.port - ether3 и дропая все соединения от него на ether1, но мастер сразу дает ошибку говоря что порт ether3 slave и правило становится неактивным.

 

Подскажите как решить задачу, буду очень признателен.

Edited by DiVerSantDen

Share this post


Link to post
Share on other sites

34 минуты назад, DiVerSantDen сказал:

но мастер сразу дает ошибку говоря что порт ether3 slave и правило становится неактивным.

Ну так послушайте мастера,у вас порты свитч-чипом объединены в мини-свитч.

 

36 минут назад, DiVerSantDen сказал:

при этом закрыть для 3-го порта доступ в инет и из инета на тот же 3-й порт.

Ну вот и добавьте в цепочку forward адреса,которые сидят за 3-им портом.

Share this post


Link to post
Share on other sites

4 часа назад, alexwin сказал:

Ну вот и добавьте в цепочку forward адреса,которые сидят за 3-им портом.

Там много адресов, и возможно будут меняться адреса периодически. 

 

Потому и стал вопрос возможно ли закрыть доступ из внутренней сети в WAN/NAT основываясь на порт подключения сегмента.

Share this post


Link to post
Share on other sites

Похоже изысканности извращений просто нет пределов... Странно, что до сих пор никому не пришла идея по коннектору rj-45 доступ резать.

 

1 час назад, DiVerSantDen сказал:

порт подключения сегмента.

Нет там никакого сегмента (разве что физический), порт в бридже с остальными.

1 вариант - выпиливайте порт в отдельный L2, делите между ним и бриджем вашу текущую сетку в каких-то пропорциях, хостам отдавайте общую маску но шлюз только в сегменте бриджа, включайте arp-proxy на обоих интерфейсах и наслаждайтесь.

2 вариант - реализовать это "честно" вероятно возможно каким-нибудь специфично-цикличным скриптом, выбрав mac-и из bridge-hosts по on-interface, вытащив их ip из arp-табилцы и залудив в блэк-адрес-лист c неким тайм-аутом, но даже пытаться это писать - персональная платиновая карта клуба "50 оттенков? Да Грэй просто лошара!".

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.