DiVerSantDen Posted April 15, 2018 Posted April 15, 2018 (edited) Задача следующая - роутер Mikrotik 2011, входящий порт от провайдера ether1 (авторизация по статическому IP), порт ether3 - за ним сегмент сети к которому нужно получать доступ с остальных ether4-10, но при этом закрыть для 3-го порта доступ в инет и из инета на тот же 3-й порт. Пытался прописать правило через мастер выбирая sourse.port - ether3 и дропая все соединения от него на ether1, но мастер сразу дает ошибку говоря что порт ether3 slave и правило становится неактивным. Подскажите как решить задачу, буду очень признателен. Edited April 15, 2018 by DiVerSantDen Вставить ник Quote
alexwin Posted April 15, 2018 Posted April 15, 2018 34 минуты назад, DiVerSantDen сказал: но мастер сразу дает ошибку говоря что порт ether3 slave и правило становится неактивным. Ну так послушайте мастера,у вас порты свитч-чипом объединены в мини-свитч. 36 минут назад, DiVerSantDen сказал: при этом закрыть для 3-го порта доступ в инет и из инета на тот же 3-й порт. Ну вот и добавьте в цепочку forward адреса,которые сидят за 3-им портом. Вставить ник Quote
DiVerSantDen Posted April 15, 2018 Author Posted April 15, 2018 4 часа назад, alexwin сказал: Ну вот и добавьте в цепочку forward адреса,которые сидят за 3-им портом. Там много адресов, и возможно будут меняться адреса периодически. Потому и стал вопрос возможно ли закрыть доступ из внутренней сети в WAN/NAT основываясь на порт подключения сегмента. Вставить ник Quote
DRiVen Posted April 15, 2018 Posted April 15, 2018 Похоже изысканности извращений просто нет пределов... Странно, что до сих пор никому не пришла идея по коннектору rj-45 доступ резать. 1 час назад, DiVerSantDen сказал: порт подключения сегмента. Нет там никакого сегмента (разве что физический), порт в бридже с остальными. 1 вариант - выпиливайте порт в отдельный L2, делите между ним и бриджем вашу текущую сетку в каких-то пропорциях, хостам отдавайте общую маску но шлюз только в сегменте бриджа, включайте arp-proxy на обоих интерфейсах и наслаждайтесь. 2 вариант - реализовать это "честно" вероятно возможно каким-нибудь специфично-цикличным скриптом, выбрав mac-и из bridge-hosts по on-interface, вытащив их ip из arp-табилцы и залудив в блэк-адрес-лист c неким тайм-аутом, но даже пытаться это писать - персональная платиновая карта клуба "50 оттенков? Да Грэй просто лошара!". Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.