Jump to content

/ip firewall filter

feeman
 Share

Recommended Posts

feeman

feeman

Posted
Posted

Можно ли в одно правило запихнуть N-маков ? 

/ip firewall filter add chain=input src-mac-address=B0:0C:D1:6D:13:A0,AC:E2:D3:D7:E0:42,04:B1:67:4F:4C:28,B0:0C:D1:6D:1C:12 action=accept

пишет: expected end of command (line 1 column 72) 

feeman

feeman

Posted
  • Author
Posted
2 часа назад, fiskunt сказал:

Делай отдельное правило для каждого мак адреса

Жесть какая-то!

Особенно в маем случае когда маков пару сотен.

 

Странно то, что есть пост на хабре, что так можно https://qna.habr.com/q/345373

 

 

fiskunt

fiskunt

Posted
Posted
38 минут назад, feeman сказал:

Жесть какая-то!

Особенно в маем случае когда маков пару сотен.

 

Странно то, что есть пост на хабре, что так можно https://qna.habr.com/q/345373

 

 

Ссылка не на ту статью ведёт, но я свято уверен, что нельзя через разделитель написать несколько маков.

Если маков много то проще сделать скрипт вида: 

/ip firewall filter add chain=input src-mac-address= action=accept
/ip firewall filter add chain=input src-mac-address= action=accept
/ip firewall filter add chain=input src-mac-address= action=accept

Вставить маки и залить в микротик

Минут 20 конрлЦ и конртлВ и готово

feeman

feeman

Posted
  • Author
Posted
1 час назад, fiskunt сказал:

Ссылка не на ту статью ведёт

там ниже Дмитрий Шицков @Zarom привел пример:

 

Цитата

Например, сперва пускаем всех разрешенных

/ip firewall filter add chain=input src-mac-address=ff:ff:ff:ff:ff:f1,ff:ff:ff:ff:ff:f2 action=accept

 

1 час назад, fiskunt сказал:

но я свято уверен, что нельзя через разделитель написать несколько маков.

Печаль...

feeman

feeman

Posted
  • Author
Posted
2 часа назад, Saab95 сказал:

В фильтрах бриджа можно пакетам с определенными мак адресами повесить метки, а после уже разберете в файрволе.

а можно пример.

 

Создал правила с разрешенными маками, последним правилом поставил chain=input action=drop.

Не не работает... Мож кто подскажет почему? 

Скрытый текст

Flags: X - disabled, I - invalid, D - dynamic 
 0  D ;;; special dummy rule to show fasttrack counters
      chain=forward action=passthrough 

 1    chain=input action=accept protocol=tcp dst-port=8291 

 2    ;;; defconf: accept established,related,untracked
      chain=input action=accept connection-state=established,related,untracked 

 3    ;;; defconf: drop invalid
      chain=input action=drop connection-state=invalid 

 4    ;;; defconf: accept ICMP
      chain=input action=drop protocol=icmp log=no log-prefix="" 

 5    ;;; defconf: accept to local loopback (for CAPsMAN)
      chain=input action=accept dst-address=127.0.0.1 

 6    ;;; defconf: drop all not coming from LAN
      chain=input action=drop in-interface-list=!LAN 

 7    ;;; defconf: accept in ipsec policy
      chain=forward action=accept ipsec-policy=in,ipsec 

 8    ;;; defconf: accept out ipsec policy
      chain=forward action=accept ipsec-policy=out,ipsec 

 9    ;;; defconf: fasttrack
      chain=forward action=fasttrack-connection connection-state=established,related 

10    ;;; defconf: accept established,related, untracked
      chain=forward action=accept connection-state=established,related,untracked 

11    ;;; defconf: drop invalid
      chain=forward action=drop connection-state=invalid 

12    ;;; defconf: drop all from WAN not DSTNATed
      chain=forward action=drop connection-state=new connection-nat-state=!dstnat in-interface-list=WAN 

13    ;;;
      chain=input action=accept src-mac-address=B0:1C:D1:6C:13:A0 log=no log-prefix=""

14    ;;;
      chain=input action=accept src-mac-address=AC:E2:D7:A7:E0:42 log=no log-prefix="" 

15   ;;;
      chain=input action=accept src-mac-address=04:B1:47:4F:4C:28 log=no log-prefix="" 

16    ;;;
      chain=input action=accept src-mac-address=B0:0C:D1:6D:1C:12 log=no log-prefix="" 

17    ;;;
      chain=input action=accept src-mac-address=8C:45:00:D8:A7:30 log=no log-prefix="" 

18    ;;;
      chain=input action=accept src-mac-address=C4:65:16:AF:71:8C log=no log-prefix="" 

19    ;;;
      chain=input action=accept src-mac-address=6C:C7:EB:F3:E5:4F log=no log-prefix=""

20    ;;;                                      
      chain=input action=drop log=no log-prefix=""

 

 

кстати еще один вопрос, если правило выключено:

Цитата

14 X  chain=input action=accept src-mac-address=AC:E2:D7:A7:E0:42 log=no log-prefix="" 

 я ведь правильно понимаю, что данный mac должен быть drop'нут? если последнее правило в списке chain=input action=drop?

Saab95

Saab95

Posted
Posted

Мак адрес разве будет работать без указания интерфейса?

  

/interface bridge filter
add action=mark-packet chain=input new-packet-mark=test src-mac-address=11:22:33:44:55:66/FF:FF:FF:FF:FF:FF

Не забудьте поставить галочку на бридже use ip firewall. Далее уже по этим маркировкам смотрите.

RN3DCX

RN3DCX

Posted
Posted
8 часов назад, Saab95 сказал:

Мак адрес разве будет работать без указания интерфейса?

Может быть в специфики конкретно микротика и нужно указывать интерфейс?!? НО, к примеру у циски это не нужно.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.