❗️Toto je původní verze internetového fóra ISPforum.cz do února 2020 bez možnosti registrace nových uživatelů. Aktivní verzi fóra naleznete na adrese https://telekomunikace.cz
Přístup do NAS z vybraných IP
Přístup do NAS z vybraných IP
Zdravím, potřeboval bych radu, jak povolit přístup v místní síti (mikrotik RB2011-bridge) do NAS IP 10.10.10.51 pouze z vybraných IP např 10.10.10.2 a 10.10.10.3 příp. zakázat z 10.10.10.4 a 10.10.10.5. Předem velké dík
0 x
-
Tomáš Břinčil
- Moderátor
- Příspěvky: 648
- Registrován: 13 years ago
- antispam: Ano
- Bydliště: /dev/null
- Kontaktovat uživatele:
Vytahnout port pro nas z bridge a dat firewall pravidlo mezi bridgem z ktereho se bude pristupovat a portem pro nas...
0 x
Windows what? Linux instead...
Real programmers don't need notice all their known languages.
https://www.facebook.com/conexainternet
Real programmers don't need notice all their known languages.
https://www.facebook.com/conexainternet
-
Tomáš Břinčil
- Moderátor
- Příspěvky: 648
- Registrován: 13 years ago
- antispam: Ano
- Bydliště: /dev/null
- Kontaktovat uživatele:
pdahe píše:díky, a v rámci 1 bridge to asi nepůjde co ?
Ne.
0 x
Windows what? Linux instead...
Real programmers don't need notice all their known languages.
https://www.facebook.com/conexainternet
Real programmers don't need notice all their known languages.
https://www.facebook.com/conexainternet
To je softwarový bridge? V RB2011 zrušili bridge firewall? Čili toto nefunguje:
/interface bridge filter add action=accept chain=forward mac-protocol=ip src-address=10.10.10.2/31 dst-address=10.10.10.51/32
/interface bridge filter add action=drop chain=forward mac-protocol=ip dst-address=10.10.10.51/32
?
Pravda, celkem podstatný dopad na rychlost bridgování, pokud je pravidel víc.
Jinak bych se spíše podíval do nastavneí toho NASu, řada jich něoc jako firewall umí a osekal to v něm.
/interface bridge filter add action=accept chain=forward mac-protocol=ip src-address=10.10.10.2/31 dst-address=10.10.10.51/32
/interface bridge filter add action=drop chain=forward mac-protocol=ip dst-address=10.10.10.51/32
?
Pravda, celkem podstatný dopad na rychlost bridgování, pokud je pravidel víc.
Jinak bych se spíše podíval do nastavneí toho NASu, řada jich něoc jako firewall umí a osekal to v něm.
0 x
takže blokuju pouze ty adresy, které nechci tímto a funguje
1 chain=forward action=drop mac-protocol=ip src-address=10.10.10.60/32
dst-address=10.10.10.51/32
2 chain=forward action=drop mac-protocol=ip src-address=10.10.10.61/32
dst-address=10.10.10.51/32
ještě pro pohodlnost bych potřeboval dát do scr rozsah adres třeba 10.10.10.60-10.10.10.80 a to navím jak tam dostat.
Jinak dík za to nakopnutí
1 chain=forward action=drop mac-protocol=ip src-address=10.10.10.60/32
dst-address=10.10.10.51/32
2 chain=forward action=drop mac-protocol=ip src-address=10.10.10.61/32
dst-address=10.10.10.51/32
ještě pro pohodlnost bych potřeboval dát do scr rozsah adres třeba 10.10.10.60-10.10.10.80 a to navím jak tam dostat.
Jinak dík za to nakopnutí
0 x
A ten NAS jede na jakém protokolu? Pokud SMB/CIFS (samba), tak by stačilo editovat smb.conf (hosts allow). NFS protokol nemám nastudovaný, ale tohle https://wiki.archlinux.org/index.php/NFS_(%C4%8Cesky)#.2Fetc.2Fhosts.allow by mohlo pomoct.
0 x
Také bych spíše se podíval do nastavení toho NASu, zda to dovolí naklikat. Řada slušnějších ano. Asi bych ručně needitoval to, co není vidět ve webksichtu. Snadno po aktualizace firmware nebo i jen přepklikání něčeho ve webu to může přemáznout.
Jinak pokud chceš vyloučít rozsah 60-79, tka by to bylo na dva řádky:
/interface bridge filter add action=drop chain=forward mac-protocol=ip src-address=10.10.10.60/30 dst-address=10.10.10.51/32
/interface bridge filter add action=accept chain=forward mac-protocol=ip src-address=10.10.10.64/28 dst-address=10.10.10.51/32
pokud i tu 80, tak třetí k tomu
/interface bridge filter add action=accept chain=forward mac-protocol=ip src-address=10.10.10.80/32 dst-address=10.10.10.51/32
Ty 60 a 61 jdou řešit jedním pravidle src-address=10.10.10.60/31.
A zamyslel bych se, jak těžké je změnit si IPčko těm, co jsou v tom zakázaném rozsahu, zda ti to jendím kliknutím neobejdou.
Jinak pokud chceš vyloučít rozsah 60-79, tka by to bylo na dva řádky:
/interface bridge filter add action=drop chain=forward mac-protocol=ip src-address=10.10.10.60/30 dst-address=10.10.10.51/32
/interface bridge filter add action=accept chain=forward mac-protocol=ip src-address=10.10.10.64/28 dst-address=10.10.10.51/32
pokud i tu 80, tak třetí k tomu
/interface bridge filter add action=accept chain=forward mac-protocol=ip src-address=10.10.10.80/32 dst-address=10.10.10.51/32
Ty 60 a 61 jdou řešit jedním pravidle src-address=10.10.10.60/31.
A zamyslel bych se, jak těžké je změnit si IPčko těm, co jsou v tom zakázaném rozsahu, zda ti to jendím kliknutím neobejdou.
0 x
-
Radek Úlehla
- Příspěvky: 1201
- Registrován: 17 years ago
- Kontaktovat uživatele:
Já bych NASu dal IP z jiného rozsahu a na mikrotiku udělal list pro povolené adresy.
0 x
Jsem obyčejný uživatel, žádná firma, mikrotik je doma, zasíťovaný se sousedem
A hlavně samouk ne z oboru. Děkuji za každou radu.
Ještě jak budu doma, zkusím dát blokace ne na ip, ale na mac.
A hlavně samouk ne z oboru. Děkuji za každou radu.
Ještě jak budu doma, zkusím dát blokace ne na ip, ale na mac.
0 x
tak jsem tam dal místo IP adres v src mac a je to přesně to co jsem potřeboval.
Všem moc dík
Všem moc dík
0 x