IP Neighbors

[hapi]

Kód: Vybrat vše

/interface bridge filter add action=drop chain=forward dst-port=5678 ip-protocol=udp mac-protocol=ip out-interface=wlan1;
/interface bridge settings set use-ip-firewall=yes;

[mrazek609]

Kód: Vybrat vše

/interface bridge filter add action=drop chain=forward dst-port=5678 ip-protocol=udp mac-protocol=ip out-interface=wlan1;
/interface bridge settings set use-ip-firewall=yes;

Bohužel toto mi nefunguje. Pravidlo zachytává, ale ve winboxu stejně vidím všechny klienty.

Pro mě je momentálně funkční tohle:
chain=forward action=drop in-bridge=bridge-vlan40 mac-protocol=ip dst-port=5678 ip-protocol=udp
chain=forward action=drop in-bridge=bridge-vlan40 mac-protocol=ip src-port=5678 ip-protocol=udp
chain=forward action=drop in-bridge=bridge-vlan40 packet-type=multicast

[hapi]

ve winboxu jako předtim než se připojíš k mikrotiku nebo ve winboxu v neighboru? kde vůbec v winboxem seš? Tohle má zajistit že ke klientům se nedostane CDP kromě CDP s APčka ale APčko uvidí CDP všech. To si přece chtěl ne?

[radik]

Kód: Vybrat vše

/interface bridge filter add action=drop chain=forward dst-port=5678 ip-protocol=udp mac-protocol=ip out-interface=wlan1;
/interface bridge settings set use-ip-firewall=yes;

Toto je totalni nesmysl. Příkaz /interface bridge settings set use-ip-firewall=yes; dělá to, že klasický firewall funguje i v bridge.
To co se dá v bridge do filter funguje vzdy.

[hapi]

takže to je totální nesmysl jenom z poloviny, ne? v bridge nejedem.

Pravidlo funguje a mám ho ověřený.

[mrazek609]

ve winboxu jako předtim než se připojíš k mikrotiku nebo ve winboxu v neighboru? kde vůbec v winboxem seš? Tohle má zajistit že ke klientům se nedostane CDP kromě CDP s APčka ale APčko uvidí CDP všech. To si přece chtěl ne?

Jde o to, když si připojím comp s winboxem (nebo jiný mikrotik) na ethernet klientské antény. V tu chvíli se mi zobrazí všichni klienti v lokalitě a to nemusí každý klient vědět. Chci aby klient viděl maximálně svou anténu a nic dalšího.
S Tvým pravidlem se mi stále zobrazovali, až když jsem ho doplnil o pravidlo s drop muticast tak to bylo ok.

Prosím, jak jinak nastavit klienty nebo AP, aby anténa nebyla v bridge? Klientská anténa pak musí natovat?

[KoZLiCeK]

dej klienta za nat.

[hapi]

jo, natovat. A nebo si napsat ty pravidla do klientský jednotky případně zapnout izolaci klientů.

[mrazek609]

Ok, děkuji za info. Nasadil jsem pravidla na bridge v AP + izolaci klientů a zdá se, že vše dělá co má.

[hapi]

s takovou sítí je to docela špatný. Jestli máš klienty mikrotiky v bridge tak časem pocítíš že jednotka ve "station bridge" jede hůř než jednotka ve "station" + nat.

[radik]

takže to je totální nesmysl jenom z poloviny, ne? v bridge nejedem.

Pravidlo funguje a mám ho ověřený.

Ty ze nejedes v bridge je hezky, ale on ano. Tak nevidim duvod proc mu rikat, aby si zapl u bridge podporu firewallu. To jsou tady vzdycky rady uplne k necemu jinymu nez se nekdo pta...

[zdenek.svarc]

Discovery protokol má ethertype 0x88CC (mělo by platit pro LLDP, CDP, MNDP, ale to píšu bez záruky). Takže by mohlo fungovat něco jako:

Kód: Vybrat vše

interface bridge filter add mac-protocol=0x88CC chain=forward action=drop

[mrazek609]

Discovery protokol má ethertype 0x88CC (mělo by platit pro LLDP, CDP, MNDP, ale to píšu bez záruky). Takže by mohlo fungovat něco jako:

Kód: Vybrat vše

interface bridge filter add mac-protocol=0x88CC chain=forward action=drop

Zkouším, pravidlo zachytává značné množství, ale zase ze strany klienta vidím všechny ostatní.

[mrazek609]

s takovou sítí je to docela špatný. Jestli máš klienty mikrotiky v bridge tak časem pocítíš že jednotka ve "station bridge" jede hůř než jednotka ve "station" + nat.

Důvodem proč to mám v bridge byla transparentnost až na klienta a IP dát až na router. Ale zkusím to někde nasadit, jestli se mi zlepší propustnost apod.

Akorát nerozumím, jak je to třeba u PtP? Když udělám spoj třeba na malou bytovku, tak to to stejně musí být ether1 a wlan1 v bridge, nebo ne?

[zdenek.svarc]

Discovery protokol má ethertype 0x88CC (mělo by platit pro LLDP, CDP, MNDP, ale to píšu bez záruky). Takže by mohlo fungovat něco jako:

Kód: Vybrat vše

interface bridge filter add mac-protocol=0x88CC chain=forward action=drop

Zkouším, pravidlo zachytává značné množství, ale zase ze strany klienta vidím všechny ostatní.

To je o topologii, kterou přesně neznáme. Pravidlo chain=forward se týká komunikace procházejících skrz síťová rozhraní. Další varianty jsou chain=input a chain=output, jejichž význam je zřejmý. Takže teď to chce sednout nad topologii, podívat se odkud-kam se generuje provoz a přizpůsobit tomu firewall bridge pravidla tak, aby to dropovalo příslušný ethertype (mac-protocol=0x88CC).