[Reanimator++]

Hardware

Имеется Mikrotik, на нем поднят PPPoE концентратор, смотрящий в сеть с юзерами (интерфейс LAN) на свичах с port-based vlan, настроенных елочкой..

имеется интерфейс в который подключены сервера (биллинг, помойка и т.п.)

имеется еще несколько интерфейсов в интернет (NAT).

 

Adresses

в микротике имеются следующие списки адресов (address-list):

A - админы

B - активные юзеры

C - отключенные юзеры

S - статистика, биллинг

F - файлопомойка

I - (обозначим этим интернет)

 

Нужно обеспечить доступ:

 

A - к A, B, C, S, F, I

B - к A, B, S, F, I

C - к A, S

 

S - к A, B, C, I

F - к A, B

I - к A, B, S

 

Просмотрел подробно wiki, там качественно изложена настройка цепочки (chain) input.

Тут логика понятна - принимаем то что должно ходить, остальное дропаем. Туда же накручивается всякого рода защита от флуда и т.п., но это потом..

 

вопрос возник когда начал правила цепочки forward прописывать.

 

По идее, сначала я должен создать разрешающие правила, а все остальное дропнуть.

начинаю создавать по порядку - source - A, destination - B, accept.. и т.д., пока не дохожу до интернета (I).

т.к. интернет все адреса содержит то получается правило типа B --> All, accept. и All --> B, accept.

 

выходит, что это правило разрешает B делать вообще все и до дропа, располагающегося в конце списка, ничего никогда не дойдет..

 

т.е. надо делать наоборот - создавать правило разрешающее всем и все, а перед ним ставить дропы на то что нельзя? или я где-то туплю?..