Как настроить правило firewall на mikrotik?

Question

[EvgenShal]

Здравствуйте, у меня есть mikrotik hex и управляемый коммутатор l2 уровня d-link des 3200-18. На микротике настроен bridge на все порты и dhcp сервер.
Стоит следующая задача настроить правило firewall так чтобы на всех ПК подключенных через коммутатор l2 блокировался определенный сайт.
По группам ip адресов все работает, но как сделать конкретно блокировку запросов по этому коммутатору или одному порту микротика не разделяя bridge я не могу найти.
Подскажите хотя бы в какую сторону копать.

Answer 1

[EvgenShal]

Решил вопрос с интерфейсам.
Включил в общих настройках bridge функцию use-ip-firewall после чего в настройках firewall можно указать конкретный входной интерфейс in_bridge_port.
Однако при подключении ПК напрямую в микротик сайты блокируются как поломается, а если в то же разъем подключить коммутатор в который будут подключены ПК сайт снова перестает блокироваться.
Вопрос с чем это может быть связано?

Answer 2

[Akina]

Firewall rule:

Chain - forward
Dst. address - блокируемый сайт
In interface - порт к коммутатору
Action - drop

Comments

[EvgenShal]

Эта настройка работает для раздельных интерфейсов. Мне в идеале нужно настроить коммутатор так чтобы все запросы от ПК шли от его адреса, но сейчас запросы идут от адреса ПК и делать список их адресов вообще не вариант.

[EvgenShal]

А отдельный порт нельзя использовать в этом правеле пока он находится в bridge. А вывести его от туда я пока не могу это крайняя мера, по тому как необходимо перенастраивать весь микротик.

[Akina]

EvgenShal, ты вообще о чём? по этому правилу пакет вообще до моста не доберётся и сдохнет на входе.

[EvgenShal]

Akina, у меня мало опыта в администрировании сетей и могу ошибаться. Суть в том что при наличии настроенного bridge ваше правило выдаст ошибку сообщая о том что нельзя использовать подчиненный интерфейс.

[Akina]

EvgenShal,

при наличии настроенного bridge ваше правило выдаст ошибку сообщая о том что нельзя использовать подчиненный интерфейс

Значит, просто запрещены применения правил файрвола на отдельном интерфейсе группы.

[EvgenShal]

Если вдруг будет интересно. Возможно применять правила к отдельным интерфейсам в группе. Для этого включается параметр use-ip-firewall в общих настройках bridge и в правиле устанавливается параметр in. bridge port.
Проблема в моем случае была в коммутаторе, я поставил другой такой же и все заработало как надо.

Answer 3

[Drno]

да никак. в случае запроса Ip \ Домена надо понимать с каких адресов это блокировать. создайте список адресов, либо вынесите l2 в отдельный порт со своей подсетью

Comments

[EvgenShal]

Вы знаете что такое use ip firewall в настройках bridge? Я вычитал что если это настроить то можно использовать фильтрацию по интерфейсу не выводя его из bridge, но не могу найти инструкций пока.

Answer 4

[Zerg89]

Vlan на комутаторе и по нему блокировать
Или ttl рассчитать и по нему блокировать
Mangle и raw drop работает до bridge

Comments

[EvgenShal]

На коммутаторе по умолчанию настроен vlan в котором все интерфейсы помечены как untagged ports подскажите как мне блокировать по нему или как его изменить? В какой области копать?