+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Блокировать доступ в интернет на конкретном физическом порте

Блокировать доступ в интернет на конкретном физическом порте, RouterOS

Syptic

Guest

05.06.2017 08:27:00

Привет! Недавно я купил роутер MikroTik, но он для меня слишком сложный, поэтому хочу спросить, не знаешь ли ты, как сделать следующее. Я хочу заблокировать один из физических портов роутера от доступа к интернету. Например, порт 4. То есть всё, что подключено к порту 4, будет иметь доступ только к локальной сети, но не сможет выйти в интернет. Это реально сделать? С уважением, Syptic

koperfield Guest	#2 0 11.10.2017 20:46:00 Нет, не могу (« chain=forward » добавлено): Untitled1.png То же самое, нет, не могу (« chain=forward » добавлено): Untitled.png

ZeroByte Guest	#3 0 11.10.2017 21:37:00 Ранее в теме уже объясняли, что нужно отвязать интерфейсы, такие как ether4, о которых вы выкладывали скриншоты. Кроме того, нужно добавить ether4 в LAN-мост и включить на мосту опцию «use IP firewall».

koperfield Guest	#4 0 12.10.2017 14:38:00 Интерфейс ether4: главный порт → отсутствует? Добавить ether4 в основной LAN bridge1? Или нужно создать другой, например bridge2? Нужно ли добавлять в bridge2 другие интерфейсы, такие как ether2, ether3, ether5? Спасибо.

ZeroByte

Guest

12.10.2017 14:40:00

Да, на master=none… Если хотите, чтобы ether4 находился в той же сети, что и остальная локальная сеть, тогда да, добавьте его в тот же мост. Если же хотите, чтобы ether4 была совершенно отдельной сетью, тогда не нужно добавлять его ни в какой мост. Просто отвяжите его от мастера, назначьте IP-адрес на интерфейс и настройте DHCP и прочее.

koperfield Guest	#6 0 12.10.2017 15:40:00 Да, я хочу, чтобы ether4 был в той же сети, что и ether2, ether3, ether5. 1.png Но после того, как я добавил неведомый ether4 в bridge1, ether4 стал ведомым! И правило не работает. 2.png 3.png «Использовать IP Firewall» на bridge1 → включено.

ZeroByte

Guest

12.10.2017 17:47:00

Хорошо, значит даже использование IP-файрвола для моста не позволит отфильтровать трафик на конкретном порте моста. Это нормально, что интерфейс становится slave, когда его добавляют в мост. Slave означает, что интерфейс нельзя использовать напрямую как IP-интерфейс, потому что он выступает как часть другой функции — в данном случае мостирования.

В любом случае, достичь своей цели можно с помощью фильтра уровня 2 для моста, как уже упоминалось выше в ветке.
/interface bridge filter add action=drop chain=forward in-bridge=bridge1 in-interface=ether4
add action=drop chain=forward in-bridge=bridge1 out-interface=ether4

Это приведёт к тому, что мост не будет пересылать никакой трафик на интерфейс ether4 и с него. Трафик туда/обратно из Интернета не попадёт в фильтр forward моста, а пойдёт через фильтры input/output моста.

Ещё момент — если вы хотите сделать мост, все порты которого изолированы друг от друга, но при этом с доступом в Интернет, то легко сделать это, используя функцию split horizon: зайдите в каждый порт моста и установите horizon=1. Все порты с одинаковым horizon не могут между собой общаться, но при этом могут общаться со всеми другими портами.

Так что если нужна полная изоляция “внутри” (без “восток-запад” связи), но при этом связь с “наружным” миром (“север-юг”) — просто присвойте всем портам одинаковый horizon. Это проще, чем создавать правила фильтра для каждого интерфейса, да и, скорее всего, работает быстрее.

koperfield

Guest

12.10.2017 20:32:00

/interface bridge filter print

Flags: X - отключено, I - недействительно, D - динамическое
0 chain=forward action=drop in-interface=ether4 in-bridge=bridge1 log=no log-prefix=""

1 chain=forward action=drop in-bridge=bridge1 out-interface=ether4 log=no log-prefix=""

Устройства, подключённые к физическому порту ether4, всё ещё имеют доступ в интернет. Я использую стандартную конфигурацию RouterBOARD 750UP r2 (hEX PoE Lite). Всё, что я хочу и нужно – чтобы устройство, подключённое к порту ether4, имело полный доступ к локальной сети, но при этом не могло выходить в интернет через любые протоколы (http(s), ssh, telnet, неизвестные или проприетарные протоколы и т. д.). Не больше и не меньше. Это возможно?

ZeroByte

Guest

12.10.2017 21:42:00

Ой, подожди — я перепутал. Тебе нужно соединение LAN<>LAN, но без доступа в интернет. Упс. Удали правила фильтрации в цепочке forward и используй эти правила вместо них:

action=drop chain=input in-bridge=bridge1 in-interface=ether4 mac-protocol=ip dst-address=!192.168.0.0/24
action=drop chain=output out-bridge=bridge1 out-interface=ether4 mac-protocol=ip src-address=!192.168.0.0/24

Или можно использовать немного более сложный механизм, который не придется менять, если ты когда-нибудь поменяешь нумерацию своей сети:

/interface bridge filter add chain=input action=mark-packet new-packet-mark=nointernet in-bridge=bridge1 in-interface=ether4
/ip firewall filter add action=drop chain=forward packet-mark=nointernet out-interface=MyWanInterface

Эту команду размести сразу после первых правил типа «accept established, related».
Вообще, особо не переживай насчёт блокировки пакетов в обратную сторону — если устройства LAN на ether4 не могут отправлять данные в интернет, то и интернету просто нечего будет отправлять в ответ.

bajodel Guest	#10 0 12.10.2017 23:38:00 ... или может использовать в "in-bridge-port=" сопоставителе из предыдущей схемы конфигурации zerobyte (стандартный форвард-фильтр)?

CZFan Guest	#11 0 13.10.2017 15:43:00 Я сделал примерно то же, что и ZeroByte, но использовал правило Mangle, протестировал — работает на 100%. /ip firewall mangle> print Flags: X - отключено, I - недействительно, D - динамическое 8 chain=forward action=mark-connection new-connection-mark=DropWLanInternet passthrough=no out-interface=ether1 in-bridge-port=wlan1 log=no log-prefix=“” /ip firewall filter> print Flags: X - отключено, I - недействительно, D - динамическое 1 chain=forward action=drop connection-mark=DropWLanInternet log=no log-prefix=“”

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры