+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Правило блокировки файрволом не работает.

Правило блокировки файрволом не работает., RouterOS

ressof

Guest

01.12.2021 09:52:00

Привет! У меня есть роутер Mikrotik Hap AC2, на котором я настроил VLAN на ether4 с подсетью 192.168.10.0/24. Теперь хочу разрешить трафик только на порт 1883 с VLAN в мою другую подсеть 192.168.0.0/24. Сначала я добавил правило: add action=drop chain=forward dst-address=192.168.0.0/24 src-address=192.168.10.0/24 в конец firewall, чтобы блокировать весь трафик с VLAN в LAN, но трафик всё равно проходит.

Вот мои текущие настройки firewall:

add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment="defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
add action=drop chain=forward dst-address=192.168.0.0/24 src-address=192.168.10.0/24

ressof

Guest

15.12.2021 10:20:00

Привет! Раньше не было времени это проверить. Но когда я пытаюсь добавить твои правила выше, теряю доступ к роутеру и интернету после добавления этой команды: add address=192.168.0.1/24 interface=vlan20 network=192.168.0.0. Есть ли какой-то особый порядок для добавления команд? Или можно делать всё сразу?

anav Guest	#3 0 15.12.2021 14:58:00 Вам нужно будет заново выложить последнюю конфигурацию, чтобы я мог понять вопрос и возможный ответ.

ressof

Guest

15.12.2021 18:34:00

Переименовал vlan10 в vlan20 и изменил диапазон IP на 192.168.20.0 # 15 дек 2021 19:31:22 RouterOS 6.48.5

/interface bridge
add admin-mac=48:8F:5A:61:B1:D5 auto-mac=no comment=defconf name=bridge

/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-XX distance=indoors frequency=auto installation=indoor mode=ap-bridge ssid=MikroTik-61B1D9 wireless-protocol=802.11
set [ find default-name=wlan2 ] band=5ghz-a/n/ac channel-width=20/40/80mhz-XXXX distance=indoors frequency=auto installation=indoor mode=ap-bridge ssid=MikroTik-61B1DA wireless-protocol=802.11

/interface vlan
add interface=ether4 name=vlan20 vlan-id=20

/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN

/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik

/ip pool
add name=dhcp_main ranges=192.168.0.100-192.168.0.254
add name=dhcp_pool_vlan20 ranges=192.168.20.100-192.168.20.254

/ip dhcp-server
add address-pool=dhcp_main disabled=no interface=bridge name=defconf
add address-pool=dhcp_pool_vlan20 disabled=no interface=vlan20 name=dhcp_vlan20

/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
add bridge=bridge comment=defconf interface=wlan1
add bridge=bridge comment=defconf interface=wlan2

/ip neighbor discovery-settings
set discover-interface-list=LAN

/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=ether1 list=WAN
add interface=vlan20 list=LAN

/ip address
add address=192.168.0.1/24 comment=defconf interface=bridge network=192.168.0.0
add address=192.168.20.1/24 interface=vlan20 network=192.168.20.0

/ip cloud
set ddns-enabled=yes

/ip dhcp-client
add comment=defconf disabled=no interface=ether1

/ip dhcp-server lease
add address=192.168.0.45 client-id=ff:90:1e:c1:ce:0:3:0:1:30:58:90:1e:c1:ce mac-address=30:58:90:1E:C1:CE server=defconf
add address=192.168.0.42 mac-address=38:8B:59:89:95:23 server=defconf
add address=192.168.0.41 mac-address=48:D6:D5:D4:6D:EE server=defconf
add address=192.168.0.44 client-id=1:cc:d2:81:5e:e4:3b mac-address=CC:D2:81:5E:E4:3B server=defconf
add address=192.168.0.9 client-id=1:b8:ae:ed:ea:e8:96 mac-address=B8:AE:ED:EA:E8:96 server=defconf
add address=192.168.0.15 client-id=1:0:11:32:83:c0:1b mac-address=00:11:32:83:C0:1B server=defconf
add address=192.168.0.10 client-id=ff:9f:6e:85:24:0:2:0:0:ab:11:7:fa:89:ae:f0:ef:23:2b mac-address=00:0C:29:85:E8:C8 server=defconf
add address=192.168.0.14 mac-address=9C:93:4E:6C:CF:C2 server=defconf
add address=192.168.0.30 client-id=1:a4:2b:b0:13:21:13 mac-address=A4:2B:B0:13:21:13 server=defconf
add address=192.168.0.43 mac-address=20:DF:B9:07:F7:A9 server=defconf
add address=192.168.0.40 mac-address=54:60:09:FC:3B:E8 server=defconf
add address=192.168.0.3 mac-address=C0:74:AD:23:CD:90 server=defconf
add address=192.168.0.2 mac-address=C0:74:AD:1B:5E:C4 server=defconf
add address=192.168.0.73 client-id=1:94:9a:a9:dc:b:e4 mac-address=94:9A:A9:DC:0B:E4 server=defconf
add address=192.168.0.11 client-id=1:0:c:29:4f:ed:80 mac-address=00:0C:29:4F:ED:80 server=defconf
add address=192.168.20.10 mac-address=3C:61:05:E3:56:4B server=dhcp_vlan20
add address=192.168.20.11 mac-address=40:F5:20:01:8F:75 server=dhcp_vlan20
add address=192.168.0.80 client-id=1:ea:f3:91:85:9e:2a mac-address=EA:F3:91:85:9E:2A server=defconf
add address=192.168.20.12 mac-address=40:F5:20:01:64:4F server=dhcp_vlan20
add address=192.168.20.13 mac-address=84:F3:EB:32:D0:F6 server=dhcp_vlan20
add address=192.168.20.14 mac-address=80:7D:3A:5B:A5:D7 server=dhcp_vlan20
add address=192.168.20.15 mac-address=84:F3:EB:9F:5B:81 server=dhcp_vlan20
add address=192.168.20.16 mac-address=5C:CF:7F:36:FE:4B server=dhcp_vlan20
add address=192.168.20.17 mac-address=80:7D:3A:5B:25:45 server=dhcp_vlan20
add address=192.168.20.18 mac-address=60:01:94:07:12:BD server=dhcp_vlan20
add address=192.168.20.19 mac-address=B4:E6:2D:21:AA:71 server=dhcp_vlan20
add address=192.168.20.20 mac-address=EC:FA:BC:C4:E7:60 server=dhcp_vlan20
add address=192.168.0.12 client-id=1:0:c:29:b3:3e:a8 mac-address=00:0C:29:B3:3E:A8 server=defconf
add address=192.168.20.21 mac-address=A0:20:A6:19:55:4B server=dhcp_vlan20
add address=192.168.20.22 mac-address=5C:CF:7F:AB:B8:A9 server=dhcp_vlan20
add address=192.168.0.13 mac-address=00:09:DC:80:05:EB server=defconf
add address=192.168.0.71 client-id=1:c4:57:6e:d2:e2:8 mac-address=C4:57:6E:D2:E2:08 server=defconf
add address=192.168.0.46 mac-address=00:F6:20:C8:55:D9 server=defconf
add address=192.168.0.72 client-id=1:d8:a3:5c:7d:5d:c2 mac-address=D8:A3:5C:7D:5D:C2 server=defconf

/ip dhcp-server network
add address=192.168.0.0/24 comment=defconf gateway=192.168.0.1 netmask=24
add address=192.168.20.0/24 dns-server=192.168.20.1,8.8.8.8,1.1.1.1 gateway=192.168.20.1

/ip dns
set allow-remote-requests=yes

/ip dns static
add address=192.168.0.1 comment=defconf name=router.lan

/ip firewall address-list
add address=sn.mynetname.net list=WAN-IP

/ip firewall filter
add action=accept chain=input comment="defconf: принять established, related, untracked" connection-state=established,related,untracked
add action=drop chain=input comment="defconf: сбросить invalid" connection-state=invalid
add action=accept chain=input comment="defconf: принять ICMP" protocol=icmp
add action=accept chain=input comment="defconf: принять на локальный loopback (для CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: сбросить все, что не из LAN" in-interface-list=!LAN
add action=accept chain=forward comment="defconf: принять в ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: принять из ipsec policy" ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related
add action=accept chain=forward comment="defconf: принять established, related, untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: сбросить invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: сбросить все с WAN без DSTNAT" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN

/ip firewall nat
add action=masquerade chain=srcnat comment="Hairpin NAT" dst-address=192.168.0.0/24 src-address=192.168.0.0/24
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN
add action=dst-nat chain=dstnat dst-address-list=WAN-IP dst-port=80 protocol=tcp to-addresses=192.168.0.10 to-ports=22
add action=dst-nat chain=dstnat dst-address-list=WAN-IP dst-port=443 protocol=tcp to-addresses=192.168.0.10

/system clock
set time-zone-name=Europe/Stockholm

/tool mac-server
set allowed-interface-list=LAN

/tool mac-server mac-winbox
set allowed-interface-list=LAN

anav Guest	#5 0 15.12.2021 18:50:00 Настройки выглядят нормально, в чём теперь проблема?

ressof

Guest

15.12.2021 19:29:00

Когда я использую эту конфигурацию, у меня не получается заставить правило файрвола работать. Я пытался настроить по твоему примеру так:

/interface vlan
add interface=bridge name=vlan10 vlan-id=10
add interface=bridge name=vlan20 vlan-id=20

/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN

/interface list member
add comment=defconf interface=vlan20 list=LAN
add comment=defconf interface=ether1 list=WAN
add interface=vlan10 list=LAN

/ip dhcp-server
add address-pool=dhcp interface=vlan20 name=main_dhcp
add address-pool=dhcp_pool_vlan10 interface=vlan10 name=dhcp_vlan10

/interface bridge port
add bridge=bridge comment=defconf interface=ether2 pvid=20 ingress-filtering=yes frame-types=only-untagged-and-priority
add bridge=bridge comment=defconf interface=ether3 pvid=20 ingress-filtering=yes frame-types=only-untagged-and-priority
add bridge=bridge comment=defconf interface=ether4 pvid=10 ingress-filtering=yes frame-types=only-untagged-and-priority
add bridge=bridge comment=defconf interface=ether5 pvid=20 ingress-filtering=yes frame-types=only-untagged-and-priority
add bridge=bridge comment=defconf interface=wlan1 pvid=20 ingress-filtering=yes frame-types=only-untagged-and-priority
add bridge=bridge comment=defconf interface=wlan2 pvid=20 ingress-filtering=yes frame-types=only-untagged-and-priority

/interface bridge vlans
add bridge=bridge tagged=bridge untagged=ether2,ether3,ether5,wlan1,wlan2 vlan-ids=20
add bridge=bridge tagged=bridge untagged=ether4 vlan-ids=10

/ip address
add address=192.168.0.1/24 interface=vlan20 network=192.168.0.0
add address=192.168.10.1/24 interface=vlan10 network=192.168.10.0

/ip firewall address
add chain=forward action=drop in-interface=vlan10 out-interface=vlan20 dst-port=!1883

Последнее, что я изменил — зашел в настройки BRIDGE и переключил vlan filtering с NO на YES. Но после этого я не смог зайти ни на роутер, ни в интернет, пришлось делать сброс к заводским настройкам.

anav

Guest

15.12.2021 19:47:00

Хорошо, на конфигурации без VLAN попробуй сделать две вещи. Предполагаю, что ты хочешь VLAN20 на ether4 (и только vlan20, никаких других подсетей, предполагается, что умное устройство не подключено к ether4!!)

1) Убери ether4 из моста.
2) Удалим вот это правило…
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
и заменим его четырьмя правилами.

# dec/15/2021 19:31:22 by RouterOS 6.48.5

/interface bridge
add admin-mac=48:8F:5A:61:B1:D5 auto-mac=no comment=defconf name=bridge

/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-XX distance=indoors frequency=auto installation=indoor mode=ap-bridge ssid=MikroTik-61B1D9 wireless-protocol=802.11
set [ find default-name=wlan2 ] band=5ghz-a/n/ac channel-width=20/40/80mhz-XXXX distance=indoors frequency=auto installation=indoor mode=ap-bridge ssid=MikroTik-61B1DA wireless-protocol=802.11

/interface vlan
add interface=ether4 name=vlan20 vlan-id=20

/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN

/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik

/ip pool
add name=dhcp_main ranges=192.168.0.100-192.168.0.254
add name=dhcp_pool_vlan20 ranges=192.168.20.100-192.168.20.254

/ip dhcp-server
add address-pool=dhcp_main disabled=no interface=bridge name=defconf
add address-pool=dhcp_pool_vlan20 disabled=no interface=vlan20 name=dhcp_vlan20

/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
удалить из моста ether4
add bridge=bridge comment=defconf interface=ether5
add bridge=bridge comment=defconf interface=wlan1
add bridge=bridge comment=defconf interface=wlan2

/ip neighbor discovery-settings
set discover-interface-list=LAN

/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=ether1 list=WAN
add interface=vlan20 list=LAN

/ip address
add address=192.168.0.1/24 comment=defconf interface=bridge network=192.168.0.0
add address=192.168.20.1/24 interface=vlan20 network=192.168.20.0

/ip cloud set ddns-enabled=yes

/ip dhcp-client
add comment=defconf disabled=no interface=ether1

/ip dhcp-server network
add address=192.168.0.0/24 comment=defconf gateway=192.168.0.1 netmask=24
add address=192.168.20.0/24 dns-server=192.168.20.1,8.8.8.8,1.1.1.1 gateway=192.168.20.1

/ip dns set allow-remote-requests=yes

/ip dns static
add address=192.168.0.1 comment=defconf name=router.lan

/ip firewall address-list
add address=sn.mynetname.net list=WAN-IP

/ip firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment="defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN

add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related
add action=accept chain=forward comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid

удалить правило
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN

add chain=forward action=accept in-interface-list=LAN out-interface-list=WAN comment="allow internet access"
add chain=forward action=accept
add action=drop chain=forward comment="allow port forwarding" connection-nat-state=dstnat connection-state=new in-interface-list=WAN
add chain=forward action=accept in-interface=vlan20 dst-address=192.168.0.0/24 dst-port=1883
add chain=forward action=drop comment="drop all else"

/ip firewall nat
add action=masquerade chain=srcnat comment="Hairpin NAT" dst-address=192.168.0.0/24 src-address=192.168.0.0/24
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN
add action=dst-nat chain=dstnat dst-address-list=WAN-IP dst-port=80 protocol=tcp to-addresses=192.168.0.10 to-ports=22
add action=dst-nat chain=dstnat dst-address-list=WAN-IP dst-port=443 protocol=tcp to-addresses=192.168.0.10

/system clock set time-zone-name=Europe/Stockholm

/tool mac-server set allowed-interface-list=LAN
/tool mac-server mac-winbox set allowed-interface-list=LAN

ressof Guest	#8 0 15.12.2021 21:11:00 На ether4 подключена одна точка доступа с двумя SSID. Один основной без VLAN ID (или с VLAN ID 1) для обычного Wi-Fi доступа. Второй SSID — для умных домашних устройств с VLAN ID 20.

anav Guest	#9 0 15.12.2021 23:23:00 Какая это точка доступа... ? (производитель и модель)

ressof Guest	#10 0 16.12.2021 07:48:00 Это точка доступа от Grandstream под названием GWN7630. Я отключил встроенный WiFi на роутере и использую для WiFi только GWN7630.

anav Guest	#11 0 16.12.2021 12:23:00 Итак, вот что я бы сделал, чтобы всё заработало… Вернулся бы к использованию двух VLAN и сделал бы ether4 транковым портом для Grandstream. Важный момент — сам Grandstream должен иметь IP-адрес в подсети VLAN10 192.168.0.0/24, где VLAN10 — это домашняя сеть. VLAN20 — гость для Wi-Fi посетителей на точке доступа. А теперь как мы это реализуем. Для начала меняем ether5 на порт экстренного доступа и вернём на нём настройку VLAN (конфигурировать можно через ноутбук или ПК, подключенный к этому порту). Входим в роутер, как обычно… (вероятно, не с ether5). Убираем eth5 из моста, переименовываем его в ether5-emerg. Присваиваем IP 192.168.5.2 с сетью 192.168.5.0. Добавляем ether5 в список членов локальной сети (LAN). Выходим из роутера, затем подключаем ноутбук или ПК к ether5 и настраиваем IPv4 на 192.168.5.5, шлюз 192.168.5.1, маску 255.255.255.0. Убеждаемся, что с ether5 можно зайти в Winbox и настроить роутер. +++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++ Теперь возвращаем VLAN, как указано ранее… /interface vlan add interface=bridge name=vlan20-guests vlan-id=20 add interface=bridge name=vlan10 vlan-id=10 /interface list add comment=defconf name=WAN add comment=defconf name=LAN /interface list member add comment=defconf interface=vlan20-guests list=LAN add interface=vlan10 list=LAN add interface=ether5-emerg list=LAN add comment=defconf interface=ether1 list=WAN /ip dhcp-server add address-pool=dhcp interface=vlan10 name=main_dhcp add address-pool=dhcp_pool_vlan20 interface=vlan20-guests name=dhcp_vlan20 /interface bridge port add bridge=bridge comment=defconf interface=ether2 pvid=10 ingress-filtering=yes frame-types=only-untagged-and-priority add bridge=bridge comment=defconf interface=ether3 pvid=10 ingress-filtering=yes frame-types=only-untagged-and-priority add bridge=bridge comment=defconf interface=ether4 ingress-filtering=yes frame-types=only-tagged add bridge=bridge comment=defconf interface=wlan1 pvid=10 ingress-filtering=yes frame-types=only-untagged-and-priority disabled=yes add bridge=bridge comment=defconf interface=wlan2 pvid=10 ingress-filtering=yes frame-types=only-untagged-and-priority disabled=yes /interface bridge vlans add bridge=bridge tagged=bridge,ether4 untagged=ether2,ether3,wlan1,wlan2 vlan-ids=10 add bridge=bridge tagged=bridge,ether4 vlan-ids=20 /ip address add address=192.168.0.1/24 interface=vlan10 network=192.168.0.0 add address=192.168.20.1/24 interface=vlan20-guests network=192.168.20.0 /ip firewall filter add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp add action=accept chain=input comment="defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1 add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related add action=accept chain=forward comment="defconf: accept established,related,untracked" connection-state=established,related,untracked add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid add chain=forward action=accept in-interface-list=LAN out-interface-list=WAN comment="allow internet access" add chain=forward action=accept comment="allow port forwarding" connection-nat-state=dstnat connection-state=new in-interface-list=WAN add chain=forward action=accept in-interface=vlan20 out-interface=vlan10 dst-port=1883 add chain=forward action=drop comment="drop all else" Убедитесь, что фильтрация VLAN на мосту включена (set to yes). Когда всё настроено и работает, можно добавить ether5 обратно в мост или оставить его отдельным входом… Если решили добавить, то: /interface bridge port add bridge=bridge comment=defconf interface=ether5 pvid=10 ingress-filtering=yes frame-types=only-untagged-and-priority /interface bridge vlans add bridge=bridge tagged=bridge,ether4 untagged=ether2,ether3,ether5,wlan1,wlan2 vlan-ids=10

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры