DiVerSantDen Опубликовано 15 апреля, 2018 (изменено) · Жалоба Задача следующая - роутер Mikrotik 2011, входящий порт от провайдера ether1 (авторизация по статическому IP), порт ether3 - за ним сегмент сети к которому нужно получать доступ с остальных ether4-10, но при этом закрыть для 3-го порта доступ в инет и из инета на тот же 3-й порт. Пытался прописать правило через мастер выбирая sourse.port - ether3 и дропая все соединения от него на ether1, но мастер сразу дает ошибку говоря что порт ether3 slave и правило становится неактивным. Подскажите как решить задачу, буду очень признателен. Изменено 15 апреля, 2018 пользователем DiVerSantDen Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alexwin Опубликовано 15 апреля, 2018 · Жалоба 34 минуты назад, DiVerSantDen сказал: но мастер сразу дает ошибку говоря что порт ether3 slave и правило становится неактивным. Ну так послушайте мастера,у вас порты свитч-чипом объединены в мини-свитч. 36 минут назад, DiVerSantDen сказал: при этом закрыть для 3-го порта доступ в инет и из инета на тот же 3-й порт. Ну вот и добавьте в цепочку forward адреса,которые сидят за 3-им портом. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DiVerSantDen Опубликовано 15 апреля, 2018 · Жалоба 4 часа назад, alexwin сказал: Ну вот и добавьте в цепочку forward адреса,которые сидят за 3-им портом. Там много адресов, и возможно будут меняться адреса периодически. Потому и стал вопрос возможно ли закрыть доступ из внутренней сети в WAN/NAT основываясь на порт подключения сегмента. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DRiVen Опубликовано 15 апреля, 2018 · Жалоба Похоже изысканности извращений просто нет пределов... Странно, что до сих пор никому не пришла идея по коннектору rj-45 доступ резать. 1 час назад, DiVerSantDen сказал: порт подключения сегмента. Нет там никакого сегмента (разве что физический), порт в бридже с остальными. 1 вариант - выпиливайте порт в отдельный L2, делите между ним и бриджем вашу текущую сетку в каких-то пропорциях, хостам отдавайте общую маску но шлюз только в сегменте бриджа, включайте arp-proxy на обоих интерфейсах и наслаждайтесь. 2 вариант - реализовать это "честно" вероятно возможно каким-нибудь специфично-цикличным скриптом, выбрав mac-и из bridge-hosts по on-interface, вытащив их ip из arp-табилцы и залудив в блэк-адрес-лист c неким тайм-аутом, но даже пытаться это писать - персональная платиновая карта клуба "50 оттенков? Да Грэй просто лошара!". Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
