Можно на комп поставить старый winroute firewall (который под виндой работал) и с его помощью рулить маршрутами, в зависимости от типа траффика (ориентироваться по портам назначения, ip/dns адресам).
Но железное решение, имхо, значительно лучше. Стоимость железки, куда можно поставить openwrt невелика.
ooHikeoo: стоп-стоп-стоп. лупбэк на маршрутизаторе используется в ситуации, когда, например, у маршрутизатора несколько адресов, например - несколько впн туннелей с конечными адресами 1.1.1.1, 2.2.2.2, 3.3.3.3). но если один из туннелей (например 1.1.1.1) не работает, то тебе надо входить на адрес 2.2.2.2, а если и он не работает, то на адрес 3.3.3.3.
Чтобы не перебирать адреса даешь loopback адрес маршрутизатору, который не привязан ни к одному из физических интерфейсов. Настраиваешь маршрутизацию к этому адресу и все.
Рекомендации по наличию loopback для других случаев пока не рассматриваем
А теперь, внимание, вопрос: а что хотелось-то? Попродробнее
1. просто добавляем бридж без добавления в него интерфейсов. цель - добавить ip адрес не привязанный к конкретному интерфейсу /interface bridge interface bridge add name=loopback
2. добавляем ip адрес: ip address add interface=loopback address=
правда, что имеется ввиду "у меня внутри сети 12-15 rdp, хотелось бы по loopback заходить" я не совсем понял
Дмитрий Максименко: вам отвечают верно. в качестве интерфейса шлюз лучше всего указывать только у p2p соединений. посмотрите, если можете на шлюз и его arp таблицу. сразу все станет понятно
1. судя по манам inbount и outbound интерфейс должен быть один и тотже (и в мане и в той статье)
2. все верно. ему надо знать с какого интерфейса пришел пакет и, соответственно, туда же отвечать.
попробуйте vyos.net/wiki/How_to_make_inbound_WAN_connections_..., если версия новее, то там есть указание на "Use set load-balancing wan sticky-connections inbound"
3. "default via 120.13.123.254 dev eth2 proto zebra" ospf?
к сожалению, под рукой нет места для - больше попробовать не смогу
как "В 192.168.150.0/24 находятся условные сотрудники офиса, в неё же одним из интерфейсов заведён Mikrotik. Вторым интерфейсом он воткнут в 10.10.5.0/24"
совпадает с этим, ошибка?:
1 10.10.5.253/24 10.10.5.0 ether1-gateway
2 192.168.150.0/24 192.168.150.0 ether1-gateway
схема нарисованная от руки и сфотографированная на 0.3mpix камеру облегчит оказание ВАМ помощи
если у вас wlan (как и любо другой подчиненный интерфейс) в бридже, то правила, направленные на этот интерфейс работать не будут. их надо выставлять на бридж
то, что вы указываете connection-state="" микротик игнорирует (как будто вы вообще эту опцию не используете)
сделайте дамп interface export и ip firewall export
Verg1l: слишком сложный продукт для текущего безстандартного времени. такой продукт требует большого количества человеко-дней, которые кто-то должен оплачивать (или он будет как опенсорс долго запаздывать за текущим временем/технологиями).
вообще, берем сквид, формируем белые/черные списки и вперед. как вариант, я предложил продукт, который за 800 руб/год формирует за тебя списки по интересам.
кроме того, антивирусники, например каспер (а лучше из ветки ентерпрайз) позволяют централизовано блокировать доступ к группе сайтов. причем, можно сделать в зависимости от членства пользователя в группе. на "предустановленный" список повлиять нельзя (т.е. выбираешь соц. сети, а что в них - хз). но можешь сам составлять/добавить белый/черный список.
Дмитрий Шицков:
во-первых здесь нет дампа правил фиревола, а пользователь говорил, что у него откуда-то работает
во-вторых а траффик двух из трех сетей до маршрутизатора вообще не попадает. :) тут надо решать последовательно.
Александр: он хотел траффик меж провайдеров правилом рулить, по-этому с таблицей маршрутизации ему придется столкнуться. а первая его ошибка - маска и адрес маршрутизатора не является костылем - это просто ошибка
Алексей Русаков: отлично. если в уме посчитать не можем (маска может быть хитрая или адрес) - заходим на любой сайт по запросу Ip calculator. вводим адрес сети, маску и что видим (см предыдущий пост):
HostMin: 172.16.19.65 (минимальный адрес сети)
HostMax: 172.16.19.126 (максимальный адрес сети)
у вас компьютер знает, что если ему надо переслать пакет на какие-то адреса из этого диапазона, то ему не надо прибегать к услугам маршрутизатора. а если выходит за диапазон - надо переслать маршрутизатору (например на шлюз по умолчанию).
далее...
у вас адрес маршрутизатора находится ЗА ПРЕДЕЛАМИ СЕТИ. компьютер никуда слать не должен. даже не должен пытаться. т.к. это бы выглядело, как я писал выше (на подсети 192.168.1.0/24 шлюзом указать 192.168.10.1)
далее... чтобы у вас все получилось надо дать адрес маршрутизатора из данной подсети. т.е., например, указать шлюзом 172.16.19.65 и, соответственно, на маршрутизаторе, на интерфейсе езер 3 соответственно тоже указать данный адрес и маску... после этого маршрутизатор хоть начнет получать пакеты от данного пк.
не даю готовое решение специально, чтоб думали, а не копипастили ;)
возможно пятница, но я не понимаю, как у тебя может идти траффик из твоей подсети 172.16.19.64/26 идти на микротик с адресом 172.16.19.1. Это как на подсети 192.168.1.0/24 шлюзом указать 192.168.10.1 (одна /16 подсеть работает, т.к. у тебя адрес шлюза в нее входит)