Сервер в кармане, или просто о сложном!

главная - Статьи - Mikrotik

Настройка фильтрации трафика между портами бриджа mikrotik на примерах

Теги: Безопасность Mikrotik

Почти всегда, когда речь заходит про настройку Mikrotik, фильтрацию трафика, речь идет про /ip firewall, но это удобно, когда мы фильтруем Lan2Wan, защищаем периметр mikrotik, настраиваем NAT и т.п. Но если нужно ограничить трафик внутри локальной сети, чтобы один из компьютеров, подключенный к конкретному порту (ether5, к примеру), не мог обращаться к другому конкретному ресурсу сети, или просто если надо, чтобы все, кто подключен к порту ether5, не могли выходить в интернет через шлюз компании? Тут /ip firewall не поможет, потому что порты локальной сети объединены в один bridge (по сути, управляемый коммутатор) и firewall не даст фильтровать по портам LAN (выйдет ошибка). Есть другой инструмент: /interface bridge filter. Похож на /ip firewall filter, но относится именно к бриджу.

Для примера, есть mikrotik, LAN порты (ether2-ether5) объединены в bridge, к ether5 подключен хост с mac 00:11:22:33:44:55 (неважно, какой у него ip-адрес, а если важно - добавьте по вкусу, но не усложняйте слишком).

Настроим фильтрацию в bridge (/interface bridge filter, в Winbox Bridge - Filters):

1) блокировать трафик хоста с mac адресом 00:11:22:33:44:55 через порт ether5 до хоста 192.168.2.251:

add action=drop chain=forward dst-address=192.168.2.251/32 in-interface=
    ether5 mac-protocol=ip src-mac-address=
    00:11:22:33:44:55/FF:FF:FF:FF:FF:FF

2) разрешить хосту другой исходщий трафик:

add action=accept chain=forward in-interface=
    ether5 src-mac-address=00:11:22:33:44:55/FF:FF:FF:FF:FF:FF

3) разрешить трафик к нашему хосту из сети:

add action=accept chain=forward dst-mac-address=
    00:11:22:33:44:55/FF:FF:FF:FF:FF:FF out-interface=ether5

4) разрешаем broadcasts К хосту из сети:

add action=accept chain=forward dst-mac-address=
    FF:FF:FF:FF:FF:FF/FF:FF:FF:FF:FF:FF out-interface=ether5

Если запретить, то хост не сможет взаимедойствовать с сетью. Даже на пинги отвечать не будет.

5) запретим любым другим устройствам ходить в сеть через порт ether5:

add action=drop chain=forward out-interface=ether5
add action=drop chain=forward in-interface=ether5

Здесь также надо быть очень осторожным, чтобы не зарезать нужный служебный трафик, который может быть нужен хосту (например, dhcp-запросы или что-то еще).

Подменить можно mac, ip, но подменить порт уже сложнее:

6) запретим через порт ether5 трафик до сервера не привязываясь к mac:

add action=drop chain=forward dst-address=192.168.2.251/32 in-interface=ether5

Но здесь мы уже не дадим другим устройствам, подключенным к ether5, взаимодействовать с сервером.

На bridge нет established или related, stateful как для обычного брандмауэера тут не работает. Поэтому трафик надо разрешать как в одну сторону, так и в другую.

Из руководства Mikrotik: You can put packet marks in bridge firewall (filter and NAT), which are the same as the packet marks in IP firewall put by "/ip firewall mangle". In this way, packet marks put by bridge firewall can be used in "IP firewall", and vice versa. Что означает, что маркрирование пакетов в бридже по сути такое же, как в IP firewall. Можно маркировать пакеты в бридже и использовать эти метки в "обычном" IP firewall, и наоборот, метки, созданные в IP firewall, можно использовать в bridge firewall.

Можно маркировать пакеты, можно фильтровать по порту как источника, так и назначения и много чего еще. Настраивать микротик можно бесконечно!


Авторизуйтесь для добавления комментариев!


    забыли пароль?    новый пользователь?