Nastavení bridge

rosak

Ahoj, prosím zkušenější o radu. Mikrotik jako domácí router, tedy eth1 je WAN, ostatní porty jsou v bridge. Lze v bridge definovat seznam "povolených" MAC adres, zakázat automatické učení MAC adres a nastavit bridge tak, aby se tím zamezilo komunikaci jiným zařízením, které se pak připojí do volného portu?
Edit: možná jsem na to šel celou dobu špatně. Aktuálně si hraji s "filters" a vypadá to nadějně.

coitus

rosak
/interface ethernet switch rule - filtruje priamo switch chip bez toho aby zatazovalo procesor a HW-offload bude fungovat.

ludvik

Zapneš vlastnost arp-reply-only. Pak se neučí :-) Ale musíš si to buď udržovat staticky, nebo pomocí dhcp serveru (tam lze zapnout add-arp-for-leases, nebo tak nějak).
To jde na každém rozhraní.

Filter použít můžeš samozřejmě také. Ale na většině RB přijdeš o HW-offload. Tedy vše půjde přes CPU a switch čip tam bude tak nějak k ničemu.

rosak

Děkuji za odpověď.
Tyhle hrátky s ARP jsem kdysi úspěšně používal v jedné firmě kvůli pravidlům v QT a na to, na co jsem tehdy cílil to fungovalo.
Nicméně nejsou ta pravidla na základu zdrojových MAC adres ve filtru na bridge ještě účinnější metoda? S absencí HW offloadingu samozřejmě počítám i když je mi pocitově líto 50% CPU proti 1-2% (vyzkoušeno při 1Gbit přenosu mezi ntb a NAS).

rosak

coitus
Díky, hned se na to dívám, v ROS je to přímo podmenu ve Switch. Ale nevidím tam možnost, jak bych tam mohl nasypat třeba deset MAC adres, které mohou volně komunikovat a strom uzavřel pravidlem, které zakáže komunikaci všem nevyjmenovaným MAC adresám.

coitus

Asi takto:
https://help.mikrotik.com/docs/spaces/ROS/pages/328068/Bridging+and+Switching

Changes the destination port to the specified value:
If the setting is left empty (e.g. new-dst-ports=""), the packet will be dropped;
If a port or hardware-offloaded bonding interface is specified, the packet will be redirected to that port. Only single port or bond interface is supported;
if you use the all argument, packet will be allowed to pass through to the egress processing without being dropped;
If this parameter is not used, the packet will be accepted as is.

pravidlo allow mac address:
/interface ethernet switch rule add comment="allow" src-mac-address=D4:CA:6D:00:01:02/FF:FF:FF:FF:FF:FF ports=ether1 switch=switch1
pravidlo drop vsetko na porte:
/interface ethernet switch rule add comment="drop" new-dst-ports="" ports=ether1 switch=switch1

Neviem aky HW pouzivas ale musi to samozrejme podporovat aj switch chip v tvojom RB:
https://help.mikrotik.com/docs/spaces/ROS/pages/15302988/Switch+Chip+Features

rosak

coitus
Děkuji za odkaz i nástřel. Vyzkouším to a dám vědět.

Doplním, že to aktuálně potřebuji řešit na RB951G-2HnD a RB962UiGS-5HacT2HnT, kde by to neměl být problém. Ale zatím jsem na to nenašel čas :-(

rosak

Ještě jednou děkuji za nasměrování, ale mě to nedovolí jakékoli pravidlo zapsat. Že prý "not supported for this switch" :-(
Ještě někdo nějaký nápad, prosím?