Zápis pravidel

rosak

Dobrý den, prosím o radu.

Pokud dělám Mikrotikem NAT s maškarádou pro 4 ethernety, každý s vlastním subnetem a:

1) uživatelé z jednotlivých etherentů nesmí vidět do ostatních ethernetů (subnetů), což ve firewallu mohu řešit pravidly:

add action=drop chain=forward dst-address=192.168.2.0/24 src-address=192.168.1.0/24

add action=drop chain=forward dst-address=192.168.1.0/24 src-address=192.168.2.0/24

Lze toto rovnocenně realizovat i pravidly bez definování src a dst IP, ale naopak s definováním input a output interface?

add action=drop chain=forward in-interface=ether2 out-interface=ether3

add action=drop chain=forward in-interface=ether3 out-interface=ether2

2) pokud značím pakety pomocí pravidel pro následné zpracování v QT:

add action=mark-packet chain=forward dst-address=192.168.1.0/24 new-packet-mark=ethernet_2_download passthrough=no

add action=mark-packet chain=forward src-address=192.168.1.0/24 new-packet-mark=ethernet_2_upload passthrough=no

Lze toto rovnocenně realizovat i těmito pravidly?

add action=mark-packet chain=forward new-packet-mark=ethernet_2_download out-interface=ether2 passthrough=no

add action=mark-packet chain=forward new-packet-mark=ethernet_2_upload in-interface=ether2 passthrough=no

Zkoušel jsem to a zdá se mi, že to funguje jak má.

ludvik

Ono to také lze definovat tak, že vstup který není WAN může jen na WAN. Tedy jedno jediné pravidlo. (něco jako in-interface=!ether1 out-interface=!ether1 action=drop)

Mimochodem proč si myslíš, že by to nemělo jít?

Nejjednodušší řešení je si to zkusit. U těch queue nemáš vcelku co zkazit. Maximálně to bude fungovat špatně ...

rosak

Díky, Ludvíku.

To pravidlo co píšeš mě vskutku nenapadlo a je geniální :-)

Já si to právě nemyslím, ale někde v diskuzích jsem se setkal s tvrzením, že bych měl v pravidlech definovat IP adresy a vyhýbat se definováním pomocí rozhraní. Tomu bych rozuměl pouze z organizačního pohledu (konkrétní IP se mi přesune na jinej ifce, což u mě nelze, a pravidlo je k ničemu).