zákaz VLANů do jisté části bridge

[okoun]

ahoj, chci zakázat na určitím interface v bridge komunikaci vlanů tedy, aby tam nešel vlanový provoz. vytvořil jsem tedy v bridge filter pravidlo:
/interface bridge filter
add action=drop chain=input comment=zakaz_vlanu_do_tunelu in-interface=\
eoip-xx mac-protocol=vlan

je toto správná cesta? jde o to že to dropuje relativně hodně Bytes....

[Zbojnik]

Cav riesil som nieco podobne,
/interface bridge filter>

chain=input action=drop in-interface=ether1 in-bridge=LOCAL mac-protocol=vlan vlan-id=3 log=no


potreboval som aby zo siete nesla do tunelov na pobockach vlan3, respk. konkretny protokol ale vyhovuje aj blokacia celej vlan3

v bridge mam ether1 odtialto ide vlan ktoru nechcem aby sa posielala do tunelov ktore su tak isto v bridge, blokujem hned vstup do bridge,
ale predpokladam ze tak mozes blokovat aj vystup do tunela ak to potrebujes v inych portoch bridge-u

[okoun]

Cav riesil som nieco podobne,
/interface bridge filter>

chain=input action=drop in-interface=ether1 in-bridge=LOCAL mac-protocol=vlan vlan-id=3 log=no


potreboval som aby zo siete nesla do tunelov na pobockach vlan3, respk. konkretny protokol ale vyhovuje aj blokacia celej vlan3

v bridge mam ether1 odtialto ide vlan ktoru nechcem aby sa posielala do tunelov ktore su tak isto v bridge, blokujem hned vstup do bridge,
ale predpokladam ze tak mozes blokovat aj vystup do tunela ak to potrebujes v inych portoch bridge-u

Nenapadá tě nebo někoho jak ještě takto zblokovat komunikaci MPLS případně BGP?

[ludvik]

BGP je normální TCP konexe ...

MPLS tedy moc neznám a nepoužívám. Skoro bych si tipl, že pokud router MPLS neumí, tak ho ani nezpracuje.
Ale tak jako IPv4 má vlastní MAC protocol (EtherType 0x800), tak MPLS má 0x8847 (a 0x8848).

Mimochodem - pět minut na google

[okoun]

BGP je normální TCP konexe ...

MPLS tedy moc neznám a nepoužívám. Skoro bych si tipl, že pokud router MPLS neumí, tak ho ani nezpracuje.
Ale tak jako IPv4 má vlastní MAC protocol (EtherType 0x800), tak MPLS má 0x8847 (a 0x8848).

Mimochodem - pět minut na google

díky takže stačí zatnout tipec tcp na portu 179 a BGP je ze hry?

[ludvik]

Samozřejmě.
Ale nějak si nejsem jistý, že chápu, proč to dělat. Ještě chápu zákaz OSPF, kde to funguje tak nějak samo a hrozí "nabourání" od někoho i omylem. Ale BGP? Dokud si nenastavím peera, tak mi neublíží. DoSu to nejspíš také nezabrání.

[okoun]

jenže když máš dvě cesty na peera a nechce se aby tou jedou chodily dotazy bgp tak asi tak....

[Dalibor Toman]

jenže když máš dvě cesty na peera a nechce se aby tou jedou chodily dotazy bgp tak asi tak....

byva zvykem, ze BGP se rozebiha nad PtP ipcky na konkretnim fyzickem rozhrani (ci vlanu). Takze packet namireny na 'druhou stranu' nikdy nepujde jinudy ven nez tim interfacem. Pravda napr Windows dokazou i tenhle pripad uspesne 'vyresit' a v pripade padu linku na intefacu poslou packet klidne default gateway (pak da praci poznat kam jsem vlastne pripojenej kdyz na stole mam zarizeni se stejnym IP jako venku v siti) jinym rozhranim ale BGP router by takovyhle svinarny delat nemel.

[Zbojnik]

ja len doplnim, pretoze npr. ja som to nevedel,
mac protocol v bridge filtri ma v rolovacom menu len niekolko moznosti...
je ale mozne priamo zadat hex hodnotu cisla protokolu

https://en.wikipedia.org/wiki/EtherType

zial nie vsetky, ja som potreboval blokovat MINT protokol 0x8783

EDIT: je mozne filtrovat vsetky protokoly, ako pise ludvik, mal som ta chybu (definovanu vlan)

[ludvik]

Bych řekl, že to máš prostě špatně napsané ... pro tohle EtherType VLANy prostě nejsou. 0x8783 jsem si teď zkusil dropnout na inputu a neřve to. Starý ROS 3.30 i novější 6.33.

[Zbojnik]

Presne ako hovoris,
mal som este definovanu na dalsej karte vlan...

bez nej to zoberie...