+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

После обновления правила брандмауэра для мостовых интерфейсов не работают.

После обновления правила брандмауэра для мостовых интерфейсов не работают., RouterOS

eliast

Guest

12.09.2007 20:08:00

Привет всем! Я обновил сайт, который использует 6-портовый мост и 2-портовый мост, объединяющие только ethernet-интерфейсы. Один мост для серверов, а другой – для сетевого доступа. Я использовал 2.9, но из-за обновления оборудования мне нужно было поддерживать 2 процессора и гигабитные сетевые карты, которые не поддерживались в 2.9. После обновления до 3.0rc4 мои правила брандмауэра перестали работать. Я хочу фильтровать трафик между портами моста. В 2.9 все работало отлично. В 3.0 я включил Use ip firewall в разделе моста, но заработали только правила в таблице INPUT. В таблице FORWARD я могу сопоставлять только с интерфейсами моста. В разделе брандмауэра я использую Advanced → Out/in bridge port для сопоставления нужного порта моста, но это больше не работает. Пакеты просто не сопоставляются. Я попробовал залогировать пакеты, но в логе я вижу только интерфейс моста, а не физический. Как только я задаю какое-либо сопоставление на основе физического порта моста, пакеты просто не сопоставляются. Мой вопрос: Есть ли какие-то отличия между 2.9 и 3.0 в этой функции? Или это ошибка ПО? Или что, черт возьми, делать, чтобы мои старые правила работали…

/interface bridge> print 1
R name="LAN" mtu=1500 arp=enabled mac-address=*************** protocol-mode=none priority=0x8000 auto-mac=yes admin-mac=00:00:00:00:00:00 max-message-age=20s forward-delay=15s transmit-hold-count=6 ageing-time=5m

/interface bridge> port print
Flags: X - disabled, I - inactive, D - dynamic
INTERFACE BRIDGE PRIORITY PATH-COST
0 eth4-NK_WWW NET 0x80 10
1 eth5-PORTAL NET 0x80 10
2 eth8-ELEARNING NET 0x80 10
3 eth1-in LAN 0x80 10
4 eth9-out NET 0x80 10
5 eth3-HIVATAL NET 0x80 10
6 eth2-ESERVICE NET 0x80 10
7 eth6-NK_MAIL NET 0x80 10

Пример правила, которое не работает:
69 ;;; NK MAIL → INTERNET
chain=forward
action=accept
connection-state=new
src-address=********
in-interface=NET
out-interface=NET
dst-port=80
protocol=tcp
in-bridge-port=eth6-NK_MAIL
out-bridge-port=eth9-out

Спасибо заранее!

macgaiver Guest	#2 0 02.10.2007 07:54:00 По-моему, должно быть так: 23 ;;; ЖУРНАЛ событий chain=forward action=log dst-address=IP out-bridge-port =eth6-NK_MAIL dst-port=2222 protocol=tcp log-prefix=“LOG-”

eliast Guest	#3 0 02.10.2007 10:13:00 Окей. Повторная попытка. 0 ;;; ЗАПИСЬ В ЖУРНАЛЕ chain=forward action=log dst-address=IP dst-port=2222 protocol=tcp out-bridge-port=eth6-NK_MAIL log-prefix=“SSHLOG-” Совпадений не обнаружено.

akukula Guest	#4 0 02.10.2007 14:17:00 Где мост "NET"?? С уважением, Andrzej

eliast

Guest

02.10.2007 16:06:00

Вот, я тут просто скопировал: /interface bridge print
Flags: X - disabled, R - running
0 R name="NET" mtu=1500 arp=enabled mac-address=00:0C:42:02:2D:59 protocol-mode=none priority=0x8000 auto-mac=yes admin-mac=00:00:00:00:00:00 max-message-age=20s forward-delay=15s transmit-hold-count=6 ageing-time=5m
1 R name="LAN" mtu=1500 arp=enabled mac-address=00:0C:42:02:2D:58 protocol-mode=none priority=0x8000 auto-mac=yes admin-mac=00:00:00:00:00:00 max-message-age=20s forward-delay=15s transmit-hold-count=6 ageing-time=5m
/interface bridge port print
Flags: X - disabled, I - inactive, D - dynamic
INTERFACE BRIDGE PRIORITY PATH-COST
0 eth4-NK_WWW NET 0x80 10
1 eth5-PORTAL NET 0x80 10
2 eth8-ELEARNING NET 0x80 10
3 eth1-in LAN 0x80 10
4 eth9-out NET 0x80 10
5 eth6-NK_MAIL NET 0x80 10
6 eth3-HIVATAL NET 0x80 10
7 eth2-ESERVICE NET 0x80 10

eliast Guest	#6 0 02.10.2007 16:31:00 В общем, фильтрация по bride port в входной таблице работает, а в выходной — нет. По-моему, это баг.

akukula

Guest

02.10.2007 16:57:00

У меня 3.0rc5, и мои правила выглядят так: 0 chain=forward out-bridge=bridge1 action=accept in-bridge=bridge1 mac-protocol=ip dst-address=aaa.bbb.ccc.ddd/32 dst-port=80 ip-protocol=tcp. Единственное существенное отличие – в “protocol” и “ip-protocol”, может, попробуйте пересмотреть свои правила или обновиться до rc5.

С уважением,
Andrzej

eliast

Guest

02.10.2007 17:18:00

Я уже использую rc5. Хм. У меня нет "out-bridge" в настройках. Есть только out/in-bridge-port и out/in-interface. Ты используешь раздел "/ip firewall filter"? Может быть, есть какая-то несовместимость между версиями 2.9 и 3.0 при обработке правил? Я использую стандартный ip->firewall, а не bridge->filters для файрвола на бридже. Это изменится в 3.0?

akukula

Guest

02.10.2007 19:30:00

И как насчет: chain=forward action=log dst-address=IP dst-port=2222 protocol=tcp out-interface=NET out-bridge-port=eth6-NK_MAIL log-prefix=“LOG-”

Я бы еще попробовал Tools-Packet Sniffer с интерфейсом, установленным на “all” — у меня он показывает интерфейс ввода моста (например, ether1), затем сам мост (bridge1), затем выходной интерфейс моста (ether2), так что я могу видеть, как пакет проходит через роутер.

С уважением,
Andrzej

eliast Guest	#10 0 02.10.2007 22:20:00 Хм… Используя Packet Sniffer, я вижу, как пакет приходит на eth9-out и потом в NET bridge, но не вижу выходной интерфейс. Еще интересная штука: я пробовал фильтровать входящий интерфейс или порт bridge. С входящим интерфейсом и br правило работало, а вот с выходным – нет…

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры