Zápis pravidel
Napsal: 06 May 2016 15:45
Dobrý den, prosím o radu.
Pokud dělám Mikrotikem NAT s maškarádou pro 4 ethernety, každý s vlastním subnetem a:
1) uživatelé z jednotlivých etherentů nesmí vidět do ostatních ethernetů (subnetů), což ve firewallu mohu řešit pravidly:
Lze toto rovnocenně realizovat i pravidly bez definování src a dst IP, ale naopak s definováním input a output interface?
2) pokud značím pakety pomocí pravidel pro následné zpracování v QT:
Lze toto rovnocenně realizovat i těmito pravidly?
Zkoušel jsem to a zdá se mi, že to funguje jak má.
Pokud dělám Mikrotikem NAT s maškarádou pro 4 ethernety, každý s vlastním subnetem a:
1) uživatelé z jednotlivých etherentů nesmí vidět do ostatních ethernetů (subnetů), což ve firewallu mohu řešit pravidly:
Kód: Vybrat vše
add action=drop chain=forward dst-address=192.168.2.0/24 src-address=192.168.1.0/24
add action=drop chain=forward dst-address=192.168.1.0/24 src-address=192.168.2.0/24Lze toto rovnocenně realizovat i pravidly bez definování src a dst IP, ale naopak s definováním input a output interface?
Kód: Vybrat vše
add action=drop chain=forward in-interface=ether2 out-interface=ether3
add action=drop chain=forward in-interface=ether3 out-interface=ether22) pokud značím pakety pomocí pravidel pro následné zpracování v QT:
Kód: Vybrat vše
add action=mark-packet chain=forward dst-address=192.168.1.0/24 new-packet-mark=ethernet_2_download passthrough=no
add action=mark-packet chain=forward src-address=192.168.1.0/24 new-packet-mark=ethernet_2_upload passthrough=noLze toto rovnocenně realizovat i těmito pravidly?
Kód: Vybrat vše
add action=mark-packet chain=forward new-packet-mark=ethernet_2_download out-interface=ether2 passthrough=no
add action=mark-packet chain=forward new-packet-mark=ethernet_2_upload in-interface=ether2 passthrough=noZkoušel jsem to a zdá se mi, že to funguje jak má.
