Reanimator++ Posted June 8, 2009 Posted June 8, 2009 Hardware Имеется Mikrotik, на нем поднят PPPoE концентратор, смотрящий в сеть с юзерами (интерфейс LAN) на свичах с port-based vlan, настроенных елочкой.. имеется интерфейс в который подключены сервера (биллинг, помойка и т.п.) имеется еще несколько интерфейсов в интернет (NAT). Adresses в микротике имеются следующие списки адресов (address-list): A - админы B - активные юзеры C - отключенные юзеры S - статистика, биллинг F - файлопомойка I - (обозначим этим интернет) Нужно обеспечить доступ: A - к A, B, C, S, F, I B - к A, B, S, F, I C - к A, S S - к A, B, C, I F - к A, B I - к A, B, S Просмотрел подробно wiki, там качественно изложена настройка цепочки (chain) input. Тут логика понятна - принимаем то что должно ходить, остальное дропаем. Туда же накручивается всякого рода защита от флуда и т.п., но это потом.. вопрос возник когда начал правила цепочки forward прописывать. По идее, сначала я должен создать разрешающие правила, а все остальное дропнуть. начинаю создавать по порядку - source - A, destination - B, accept.. и т.д., пока не дохожу до интернета (I). т.к. интернет все адреса содержит то получается правило типа B --> All, accept. и All --> B, accept. выходит, что это правило разрешает B делать вообще все и до дропа, располагающегося в конце списка, ничего никогда не дойдет.. т.е. надо делать наоборот - создавать правило разрешающее всем и все, а перед ним ставить дропы на то что нельзя? или я где-то туплю?.. Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.