Stránka 1 z 1
Přístup do NAS z vybraných IP
Napsal: 27 Jan 2013 15:22
od pdahe
Zdravím, potřeboval bych radu, jak povolit přístup v místní síti (mikrotik RB2011-bridge) do NAS IP 10.10.10.51 pouze z vybraných IP např 10.10.10.2 a 10.10.10.3 příp. zakázat z 10.10.10.4 a 10.10.10.5. Předem velké dík
Re: Přístup do NAS z vybraných IP
Napsal: 27 Jan 2013 16:13
od Tomáš Břinčil
Vytahnout port pro nas z bridge a dat firewall pravidlo mezi bridgem z ktereho se bude pristupovat a portem pro nas...
Re: Přístup do NAS z vybraných IP
Napsal: 27 Jan 2013 17:17
od pdahe
díky, a v rámci 1 bridge to asi nepůjde co ?
Re: Přístup do NAS z vybraných IP
Napsal: 27 Jan 2013 17:25
od Tomáš Břinčil
pdahe píše:díky, a v rámci 1 bridge to asi nepůjde co ?
Ne.
Re: Přístup do NAS z vybraných IP
Napsal: 27 Jan 2013 17:38
od pdahe
moc děkuju, pár dní jsem se s tím trápil
Re: Přístup do NAS z vybraných IP
Napsal: 27 Jan 2013 18:51
od Majklik
To je softwarový bridge? V RB2011 zrušili bridge firewall? Čili toto nefunguje:
/interface bridge filter add action=accept chain=forward mac-protocol=ip src-address=10.10.10.2/31 dst-address=10.10.10.51/32
/interface bridge filter add action=drop chain=forward mac-protocol=ip dst-address=10.10.10.51/32
?
Pravda, celkem podstatný dopad na rychlost bridgování, pokud je pravidel víc.
Jinak bych se spíše podíval do nastavneí toho NASu, řada jich něoc jako firewall umí a osekal to v něm.
Re: Přístup do NAS z vybraných IP
Napsal: 27 Jan 2013 22:30
od pdahe
jo je to tam, začal jsem to zkoušet a viz návod - funguje
Dík
Re: Přístup do NAS z vybraných IP
Napsal: 27 Jan 2013 22:48
od pdahe
takže blokuju pouze ty adresy, které nechci tímto a funguje
1 chain=forward action=drop mac-protocol=ip src-address=10.10.10.60/32
dst-address=10.10.10.51/32
2 chain=forward action=drop mac-protocol=ip src-address=10.10.10.61/32
dst-address=10.10.10.51/32
ještě pro pohodlnost bych potřeboval dát do scr rozsah adres třeba 10.10.10.60-10.10.10.80 a to navím jak tam dostat.
Jinak dík za to nakopnutí
Re: Přístup do NAS z vybraných IP
Napsal: 27 Jan 2013 23:06
od Standa99
A ten NAS jede na jakém protokolu? Pokud SMB/CIFS (samba), tak by stačilo editovat smb.conf (hosts allow). NFS protokol nemám nastudovaný, ale tohle
https://wiki.archlinux.org/index.php/NFS_(%C4%8Cesky)#.2Fetc.2Fhosts.allow by mohlo pomoct.
Re: Přístup do NAS z vybraných IP
Napsal: 27 Jan 2013 23:27
od Majklik
Také bych spíše se podíval do nastavení toho NASu, zda to dovolí naklikat. Řada slušnějších ano. Asi bych ručně needitoval to, co není vidět ve webksichtu. Snadno po aktualizace firmware nebo i jen přepklikání něčeho ve webu to může přemáznout.
Jinak pokud chceš vyloučít rozsah 60-79, tka by to bylo na dva řádky:
/interface bridge filter add action=drop chain=forward mac-protocol=ip src-address=10.10.10.60/30 dst-address=10.10.10.51/32
/interface bridge filter add action=accept chain=forward mac-protocol=ip src-address=10.10.10.64/28 dst-address=10.10.10.51/32
pokud i tu 80, tak třetí k tomu
/interface bridge filter add action=accept chain=forward mac-protocol=ip src-address=10.10.10.80/32 dst-address=10.10.10.51/32
Ty 60 a 61 jdou řešit jedním pravidle src-address=10.10.10.60/31.
A zamyslel bych se, jak těžké je změnit si IPčko těm, co jsou v tom zakázaném rozsahu, zda ti to jendím kliknutím neobejdou.
Re: Přístup do NAS z vybraných IP
Napsal: 27 Jan 2013 23:33
od Radek Úlehla
Já bych NASu dal IP z jiného rozsahu a na mikrotiku udělal list pro povolené adresy.
Re: Přístup do NAS z vybraných IP
Napsal: 28 Jan 2013 10:54
od pdahe
Jsem obyčejný uživatel, žádná firma, mikrotik je doma, zasíťovaný se sousedem
A hlavně samouk ne z oboru. Děkuji za každou radu.
Ještě jak budu doma, zkusím dát blokace ne na ip, ale na mac.
Re: Přístup do NAS z vybraných IP
Napsal: 29 Jan 2013 00:14
od pdahe
tak jsem tam dal místo IP adres v src mac a je to přesně to co jsem potřeboval.
Všem moc dík