strix Опубликовано 20 февраля, 2021 · Жалоба Добрый день. Есть задача: ACL на порту по source IP. Дано: CRS328-24P-4S+RM, routeros 6.47.9. Конфигурация: Настроены vlan - в bridge/ports поставлен нужный PVID, например 100. В bridge/VLANs добавлен влан с тегом 100. Порт на котором требуется настроить ACL настроен в untagged. Проблема: 1) Если использовать bridge/filter, то при таком правиле: chain=forward action=drop in-interface=ether3 in-bridge=bridge mac-protocol=ip src-address=!10.100.0.150/32 log=no log-prefix="" фильтрация не работает. При этом, если порт вывести из влана (убрать из untagged в bridge/VLANs), то правило начинает работать. Очевидно, что проблема в тэгировании, но как ее решить - не очень понятно. Если в параметрах фильтра указывать 100 влан, то выходит сообщение : Couldn't change Bridge Filter Rule <00:00:00:00:00:00->00:00:00:00:00:00> - vlan matchers valid only for vlan ethernet protocol (0x8100 or 0x88a8) (6) Что логично. И если выбрать протокол vlan, то не получится задать source ip. 2) Так же можно попробовать использовать ip firewall, для этого в bridge/settings ставится галка у пункта - Use IP Firewall For VLAN, но при настройке такого правила: chain=forward action=drop src-address=!10.100.0.150 in-interface=ether3 log=no log-prefix="" выходит сообщение: in/out-interface matcher not possible when interface (ether3) is slave - use master instead (bridge) Но как сделать порт мастером, если он добавлен в бридж? На сколько я понимаю, никак. Кто-то сталкивался с данной задачей? Есть варианты решения? Заранее спасибо. П. С. хотелось бы настроить это именно на routeros. На swos пробовал, ACL там есть, но почему-то не получилось настроить аналогичное правило - дропать все, кроме указанного ip, то есть символа ! - там нет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...