+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Брандмауэр Bridge

Брандмауэр Bridge, RouterOS

losi29a

Guest

07.07.2005 09:17:00

Привет! Интересуюсь, как работает межсетевой экран Bridge Firewall. Читал документацию, но остались вопросы. Допустим, у меня 6 интерфейсов, и я хочу, чтобы интерфейсы 1, 2, 3, 4 и 5 не отправляли ARP-запросы на интерфейс 6, кроме как на адреса 10.0.0.1 и 10.0.0.2. Как это реализовать? Нужно ли писать MAC-адреса 10.0.0.1 и 10.0.0.2 в правило межсетевого экрана? Проблема в том, что я сделал правило, чтобы отбрасывать все ARP, кроме ARP для 10.0.0.1 и ARP для 10.0.0.2, и это не сработало… если я использовал только одну “accept”, то все было ок. И похоже, что порядок правил важен. Спасибо за помощь, Габор из Венгрии.

andrewluck

Guest

07.07.2005 19:06:00

Габор, в настройках моста необходимо установить передачу ARP. Затем, в правилах файрвола, команды разрешения (accept) должны стоять перед командами запрета (deny). Порядок важен, поскольку правила обрабатываются сверху вниз.

С уважением,
Andrew.

losi29a

Guest

08.07.2005 08:21:00

Привет! Я искал то, что ты писал, но все равно не работает… Когда это "работало", то только из-за ARP-таблицы моего ПК. Можешь рассказать, как работает межсетевой экран-мост? На какую глубину он анализирует Ethernet-пакеты? Или ARP-пакеты? Большое спасибо: Gabor.

Roman

Guest

08.07.2005 10:23:00

Проблема в порядке твоих правил: сначала нужно принимать тот трафик, который тебе нужен, а потом отбрасывать всё остальное. Если сделать наоборот (как ты уже и сделал), то нечего будет принимать – всё уже будет отброшено.

losi29a

Guest

08.07.2005 10:38:00

Я поменял порядок, но всё равно не работает. Подскажите, пожалуйста, на каком уровне происходит проверка файерволом через bridge? На уровне Ethernet или ARP? ARP - это широковещательное сообщение, но моя цель в том, чтобы никто не мог отправлять ARP-запросы в сеть 10.0.0.0, кроме двух станций, .1 и .2. Возможно ли это?

Roman Guest	#6 0 08.07.2005 11:57:00 /interface bridge firewall add mac-protocol=arp src-address=10.0.0.1/32 action=accept /interface bridge firewall add mac-protocol=arp src-address=10.0.0.2/32 action=accept /interface bridge firewall add mac-protocol=arp src-address=10.0.0.0/24 action=drop — должно сработать

sten Guest	#7 0 08.07.2005 14:15:00 Только в v2.9?

Roman Guest	#8 0 11.07.2005 08:26:00 Это тоже есть в версии 2.8.

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры