+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

PPPoE и сетевой мост одновременно.

PPPoE и сетевой мост одновременно., RouterOS

ponline

Guest

19.02.2005 14:36:00

Привет! У меня всё устроено так: Основной роутер → MT-бокс → AP → конечные пользователи. Вся маршрутизация делается на основном роутере, MT-бокс настроен как мост и выполняет функции управления трафиком/пользователями и прозрачного прокси-кэша. Получается, у меня мостовая сеть. Я экспериментировал с PPPoE, и мне удалось добавить одного пользователя – всё прошло логин и работает отлично. Вопрос в следующем: когда я добавлю всех пользователей по PPPoE, как мне остановить остальных пользователей, у которых нет PPPoE-аккаунта, от использования сети, как они сейчас это делают? Конечно, у меня настроен файрвол-бридж, разрешающий только желаемые MAC-адреса, таким образом я контролирую своих мостовых пользователей. Но если я заблокирую все MAC-адреса, я предполагаю, что они не смогут пройти через мост даже после логина по PPPoE.

ponline Guest	#2 0 20.02.2005 00:27:00 Почему, после настройки пользователей на PPPoE, они не перенаправляются на веб-прокси? Как сделать прозрачный прокси работающим для пользователей PPPoE? Кто-нибудь?

ponline Guest	#3 0 20.02.2005 21:00:00 Поднимаю! Это самый паршивый форум, который я когда-либо видел.

cmit

Guest

21.02.2005 07:55:00

В таком случае, помощи ты всё равно особо не получишь… Короткий намек: RTFM… Там можно прочитать, что рекомендуется НЕ использовать IP-адрес на интерфейсах, используемых как PPPoE-сервер. Чтобы никто не мог использовать твое подключение без корректных данных ppp аутентификации…

ponline

Guest

21.02.2005 11:44:00

Да, я это прочитал, но я уже говорил, что этот MT бокс работает как мост, поэтому ему и так не нужен IP-адрес для функционирования. Значит, я не смогу заблокировать не-PPPoE пользователей, если не заставлю этот MT бокс работать как роутер? Есть ли способ фильтровать не-PPPoE и PPPoE пользователей в режиме моста?

cmit

Guest

21.02.2005 12:14:00

Ты можешь фильтровать трафик через бридж. На самом деле, аж в трех вариантах: Можно настроить параметр "передаваемые протоколы" в настройках бриджа (ты наверняка видел). Все пакеты через бридж также проходят обычный файрвол, где ты мог бы фильтровать. Есть специальный раздел "файрвол бриджа". Там, например, можно отбрасывать все PPPoE пакеты в бридже. Для этого нужно создать правила файрвола бриджа для отбрасывания MAC протоколов "pppoe-discovery" (0x8863) и "pppoe-session" (0x8864).

ponline

Guest

21.02.2005 17:28:00

Спасибо большое за ответ. Если я настрою bridge так, чтобы он не перенаправлял некоторые протоколы, это остановит эти протоколы для всех пользователей, включая ppp? На брандмауэре bridge я могу фильтровать, но я не хочу отбрасывать pppoe-discovery и ssession, я хочу разрешить трафик ppp, и отбрасывать весь другой трафик, проходящий через bridge. Должен быть какой-нибудь простой способ остановить компьютеры от прохождения через этот bridge, если у них нет ppp-аккаунта??? Спасибо.

ponline Guest	#8 0 22.02.2005 11:51:00 Окей, проблема решена, и я опишу решение, на случай, если кто-то окажется в подобной ситуации. Учитывайте, что мой MT бокс настроен как мост, без маршрутизации, и трафик проходит через Lan интерфейс в Wan интерфейс. Этот бокс также работает как DHCP-сервер, Transparent Proxy-сервер, занимается Traffic Shaping и теперь еще и как PPPoE-сервер (точка доступа). Удивительно, что может сделать маленькое ПО при пристойном железе. MikroTik ruleeeez. Проблема с transparent proxxy: правило dst nat слушало только на интерфейсе Lan, поэтому оно не слышало и не перенаправляло HTTP-запросы пользователей PPPoE на порт прокси. Мне пришлось изменить правило, чтобы оно слушало на “всех” интерфейсах, и это сработало. Надеюсь, я ничего плохого не наделал с точки зрения безопасности. Останавливаю сервис для не-PPPoE пользователей. Добавлено правило брандмауэра для моста, чтобы отбрасывать весь трафик, идущий с интерфейса Lan в Wan. Таким образом, трафик с PPPoE-интерфейсов будет проходить без фильтрации, но трафик с LAN в WAN будет отбрасываться, или его можно будет разрешить для некоторых пользователей, добавив правило accept для конкретных MAC-адресов выше правила отбрасывания всего трафика. Спасибо и удачи.

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры