❗️Toto je původní verze internetového fóra ISPforum.cz do února 2020 bez možnosti registrace nových uživatelů. Aktivní verzi fóra naleznete na adrese https://telekomunikace.cz

Zápis pravidel

Návody a problémy s konfigurací.
Odpovědět
Rosak
Příspěvky: 182
Registrován: 12 years ago

Zápis pravidel

Příspěvekod Rosak » 9 years ago

Dobrý den, prosím o radu.
Pokud dělám Mikrotikem NAT s maškarádou pro 4 ethernety, každý s vlastním subnetem a:
1) uživatelé z jednotlivých etherentů nesmí vidět do ostatních ethernetů (subnetů), což ve firewallu mohu řešit pravidly:

Kód: Vybrat vše

add action=drop chain=forward dst-address=192.168.2.0/24 src-address=192.168.1.0/24
add action=drop chain=forward dst-address=192.168.1.0/24 src-address=192.168.2.0/24

Lze toto rovnocenně realizovat i pravidly bez definování src a dst IP, ale naopak s definováním input a output interface?

Kód: Vybrat vše

add action=drop chain=forward in-interface=ether2 out-interface=ether3
add action=drop chain=forward in-interface=ether3 out-interface=ether2


2) pokud značím pakety pomocí pravidel pro následné zpracování v QT:

Kód: Vybrat vše

add action=mark-packet chain=forward dst-address=192.168.1.0/24 new-packet-mark=ethernet_2_download passthrough=no
add action=mark-packet chain=forward src-address=192.168.1.0/24 new-packet-mark=ethernet_2_upload passthrough=no

Lze toto rovnocenně realizovat i těmito pravidly?

Kód: Vybrat vše

add action=mark-packet chain=forward new-packet-mark=ethernet_2_download out-interface=ether2 passthrough=no
add action=mark-packet chain=forward new-packet-mark=ethernet_2_upload in-interface=ether2 passthrough=no


Zkoušel jsem to a zdá se mi, že to funguje jak má.
0 x
Nahoru
ludvik
Příspěvky: 4448
Registrován: 14 years ago

Příspěvekod ludvik » 9 years ago

Ono to také lze definovat tak, že vstup který není WAN může jen na WAN. Tedy jedno jediné pravidlo. (něco jako in-interface=!ether1 out-interface=!ether1 action=drop)
Mimochodem proč si myslíš, že by to nemělo jít?

Nejjednodušší řešení je si to zkusit. U těch queue nemáš vcelku co zkazit. Maximálně to bude fungovat špatně ...
0 x
Jelikož je zde zakázáno se negativně vyjadřovat k provozním záležitostem, tak se holt musím vyjádřit takto: nové fórum tak jak je připravováno považuji za cestu do pekel. Nepřehledný maglajz z toho bude. Do podpisu se mi pozitiva již nevejdou.
Nahoru
Rosak
Příspěvky: 182
Registrován: 12 years ago

Příspěvekod Rosak » 9 years ago

Díky, Ludvíku.
To pravidlo co píšeš mě vskutku nenapadlo a je geniální :-)

Já si to právě nemyslím, ale někde v diskuzích jsem se setkal s tvrzením, že bych měl v pravidlech definovat IP adresy a vyhýbat se definováním pomocí rozhraní. Tomu bych rozuměl pouze z organizačního pohledu (konkrétní IP se mi přesune na jinej ifce, což u mě nelze, a pravidlo je k ničemu).
0 x
Nahoru
Odpovědět

Zpět na „Konfigurace“