6
Idee für Filter auf Bridge-Ebene
Servus ... miteinander
ich versuche mich gerade beim Filter setzen auf Bridge - Ebene ! Strebe an, dass an 3 Ports nur der PPPoE - Anmeldevorgang wie auch der Datentransfer zugelassen wird.
Soweit klappt das auch sauber. Nun muss aber einem Port auf TCP der FTP-Dienst erlaubt werden.
Ich habe also Port 1-3 alles gedropt außer PPPOE-Discovery und Session.
Da ich nun aber von Außen auf einen FTP-Clients(Datenauslesung) muss, fehlt hier noch eine Änderung der Regel.
Normalerweise hätte ich einfach die MAC-Adresse(FTP-Client) vom Drop ausgeschlossen.
Das aber geht leider nicht, denn die habe ich schon vom Admin-NIC(NB) hinterlegt.
Wie wäre der schnellste und einfachste weg, zusätzlich zum An-Abmelden der PPPOE-User den
FTP-Dienst an dem nötigen Port mit zu erlauben.
(Mikrotik RB 2011, 6.33.3)
Danke Euch für ein paar geistige Tritte ...
MFG
ich versuche mich gerade beim Filter setzen auf Bridge - Ebene ! Strebe an, dass an 3 Ports nur der PPPoE - Anmeldevorgang wie auch der Datentransfer zugelassen wird.
Soweit klappt das auch sauber. Nun muss aber einem Port auf TCP der FTP-Dienst erlaubt werden.
Ich habe also Port 1-3 alles gedropt außer PPPOE-Discovery und Session.
Da ich nun aber von Außen auf einen FTP-Clients(Datenauslesung) muss, fehlt hier noch eine Änderung der Regel.
Normalerweise hätte ich einfach die MAC-Adresse(FTP-Client) vom Drop ausgeschlossen.
Das aber geht leider nicht, denn die habe ich schon vom Admin-NIC(NB) hinterlegt.
Wie wäre der schnellste und einfachste weg, zusätzlich zum An-Abmelden der PPPOE-User den
FTP-Dienst an dem nötigen Port mit zu erlauben.
(Mikrotik RB 2011, 6.33.3)
Danke Euch für ein paar geistige Tritte ...
MFG
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 305540
Url: https://administrator.de/contentid/305540
Printed on: April 18, 2024 at 13:04 o'clock
6 Comments
Latest comment
Wie wäre der schnellste und einfachste weg, zusätzlich zum An-Abmelden der PPPOE-User den FTP-Dienst an dem nötigen Port mit zu erlauben.
Eine Accept-Regel für deinen FTP-Port vor die Drop Regel setzen 
Gruß skybird
... och nöööö! So einfach?
Dachte eher an einen Filter!
Dachte eher an einen Filter!
Was meinst du denn mit "Filter" ? Eine Firewall besteht doch aus "Filtereinträgen", auch im Mikrotik...
/ip firewall filter ........
Richtig! Wie auch immer man sie nennt .. Eintrag, Regel ..etc. Es ging mir mehr um die Anzahl. Eine Regel(oder Filter, Eintrag)die MAC-Protokoll (PPPOE) und IP wie FTP(vielleicht auch HHTP für Smart-Zugriff) in eine einzige Regel integriert! Wollte auch mal was lernen...
Vielleicht über Scr und/oder Destination - Adresse ...(bzw AdressListen) ... oder ConnectionMark !
Sowas ... z.B.
Deine Idee mit ner zweiten als "Einleitung" ... leg ich mal (nah)ab ! Für den Fall ... dass das Brainstorming nicht so funktioniert
Aber Danke ...
Vielleicht über Scr und/oder Destination - Adresse ...(bzw AdressListen) ... oder ConnectionMark !
Sowas ... z.B.
Deine Idee mit ner zweiten als "Einleitung" ... leg ich mal (nah)ab ! Für den Fall ... dass das Brainstorming nicht so funktioniert
Aber Danke ...
Achso, OK das ging so nicht aus dem Beitrag hervor.
Von der "Unübersichtlichkeit" einer einzigen Regel die alles mögliche ins sich vereinen würde mal ganz zu schweigen, bei der Fehlersuche ein Graus ..
Hast du Performance-Probleme mit zu viel FW-Rules das du so knappsen musst?
Eine Regel(oder Filter, Eintrag)die MAC-Protokoll (PPPOE) und IP wie FTP(vielleicht auch HHTP für Smart-Zugriff) in eine einzige Regel integriert! Wollte auch mal was lernen...
Das sind ja unterschiedliche Protokolle, daraus eine einzige Regel zu backen, wird aus Prinzip nichts.Vielleicht über Scr und/oder Destination - Adresse ...(bzw AdressListen) ... oder ConnectionMark !
Dafür bräuchtest du dann aber wieder Mangle-Rules und die sind dann doch Ressourcen intensiver als ein einziger Filter-Eintrag.Von der "Unübersichtlichkeit" einer einzigen Regel die alles mögliche ins sich vereinen würde mal ganz zu schweigen, bei der Fehlersuche ein Graus ..
Hast du Performance-Probleme mit zu viel FW-Rules das du so knappsen musst?
...das wollte ich doch hören ! Geht nicht! ... alles in eine Regel ! Mich hatte nur verwundert, dass bestimmte Optionen im Bereich der Bridge-Filterung (also L2) aus dem IP-Segment kommen. Wiederrum aber bei den Regel der IP-Firewall nichts vom L2 zu finden ist. Warum man das nicht zusammen bringt, ist mir ein Rätsel. Dann werden es wohl doch ein paar mehr sein... Danke!
