5
Mikrotik - Ohne Routing Ports blocken
Hallo zusammen,
ich möchte mit einem Mikrotik ein einzelnes Gerät vom Netzwerk abschotten. Dieses darf nur noch einen einzelnen UDP Port empfangen dürfen. Senden darf es alles.
Nun habe ich die beiden Ports über eine Bridge verbunden und wollte einen entsprechenden Filter setzen. Doch nach meinem Verständniss greift er nicht, da ja nicht geroutet wird. Richtig?
Gibt es noch eine andere Möglichkeit?
Die Besonderheit ist, der MK darf keine IP Adressen bekommen!
ich möchte mit einem Mikrotik ein einzelnes Gerät vom Netzwerk abschotten. Dieses darf nur noch einen einzelnen UDP Port empfangen dürfen. Senden darf es alles.
Nun habe ich die beiden Ports über eine Bridge verbunden und wollte einen entsprechenden Filter setzen. Doch nach meinem Verständniss greift er nicht, da ja nicht geroutet wird. Richtig?
Gibt es noch eine andere Möglichkeit?
Die Besonderheit ist, der MK darf keine IP Adressen bekommen!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 391749
Url: https://administrator.de/contentid/391749
Printed on: April 20, 2024 at 00:04 o'clock
5 Comments
Latest comment
Zitat von @BoomBoomBen:
Nun habe ich die beiden Ports über eine Bridge verbunden und wollte einen entsprechenden Filter setzen. Doch nach meinem Verständniss greift er nicht, da ja nicht geroutet wird. Richtig?
Durch die Bridge befinden sich beide Ports in der selben Layer-2 Domain, die normale Firewall greift also nicht das ist richtig, aber der Mikrotik bietet an auf der Bridge ebenfalls eine Firewall zu aktivieren. Wenn man das tut fließen die Pakete der einzelnen Ports wieder durch eine Firewall die auch diese Pakete filtern kannNun habe ich die beiden Ports über eine Bridge verbunden und wollte einen entsprechenden Filter setzen. Doch nach meinem Verständniss greift er nicht, da ja nicht geroutet wird. Richtig?
https://wiki.mikrotik.com/wiki/Manual:Interface/Bridge#Bridge_Settings
use-ip-firewall = yes
Diese hat in der Bridge Section einen eigenen Bereich.
Und es gibt ja immer noch die Client-Firewall
.Gruß l.
Super. Das klingt vielversprechend. Danke.
Aber wo finde ich diesen „eigenen Bereich“.
Nach wie vor schlägt weder etwas unter „Bridge/Filter“ oder „Firewall“ an...
„Use IP firewall“ ist aktiviert.
Aber wo finde ich diesen „eigenen Bereich“.
Nach wie vor schlägt weder etwas unter „Bridge/Filter“ oder „Firewall“ an...
„Use IP firewall“ ist aktiviert.
Hi,
Wenn du Winbox verwendest gehst auf Bridges und machst den Reiter "Filters" auf. Dort setzt du dann deine Firewall-Regeln für die Bridge
Gruß
Wenn du Winbox verwendest gehst auf Bridges und machst den Reiter "Filters" auf. Dort setzt du dann deine Firewall-Regeln für die Bridge
Gruß
Okay, mit dem Filter probiere ich schon die ganze Zeit herum. Leider macht es keinen Unterschied ob „use Firewall“ ein oder aus ist.
Mein erster Versuch ist erstmal alles zu blocken. Aber such das läuft nicht...
Mein erster Versuch ist erstmal alles zu blocken. Aber such das läuft nicht...
Doch nach meinem Verständniss greift er nicht, da ja nicht geroutet wird. Richtig?
Das ist richtig verstanden !Ist die Frage ob die MT Firewall überhaupt auf Layer 2, sprich also nur auf Mac Adress Ebenen nach Layer 3 Kriterien wie UDP Ports filtern kann. Musst du probieren....
Du machst ja aus dem Router über das Bridge Interface eine dumme Bridge die nur nach Mac Adressen eine Traffic Forwarding Entscheidung fällt.
Ob die MT Firewall dann zwischen 2 zur Bridge bzw. einem logischen Bridge Interface zusammengefassten Einzel Interfaces nach Layer 3 Kriterien filtern kann bleibt abzuwarten.
Mit dem dann zwingend erforderlichen "use-ip-firewall" Kommando sollte es aber klappen.
Versuch macht klug....!
Ansonsten kommst du um ein geroutetes Umfeld nicht drumrum indem du diesen Client in ein separates IP Netz hängst und der MT macht wofür er bestimmt ist nämlich zu routen. Dann greifen auch ganz sicher die Firewall Regeln.
