Ένα Mikrotik σε ρόλο Firewall;

[alefgr]

Υπάρχει τρόπος με το κατάλληλο σετάρισμα ένα router της Mikrotik να αναλάβει τα χρέη ενός Firewall; Δηλαδή, υπάρχει τρόπος δύο interface να έχουν το ίδιο subnet αλλά τα πακέτα που θα διέρχονται αναμεταξύ τους να περνούν πάντα μέσα από τους κανόνες του Firewall;

Μέχρι τώρα το ρόλο αυτό τον είχε αναλάβει ένα router της ubiquiti μέσω ενός ειδικού σεταρίσματος, αλλά τώρα τελευταία μου κάνει νερά και σκέφτομαι να το αντικαταστήσω. Πίσω από αυτό βρίσκεται ένας avr ενισχυτής της Pioneer που έχει προβληματικό firmware σε ότι έχει σχέση με το δίκτυο. Μέσω του firewall έκοβα όλα τα πακέτα που είχαν σχέση με DLNA γιατί μου προξενούσαν επανεκκινήσεις στον ενισχυτή.

[macro]

Πολυ γενικη η τοποθετηση σου χωρις πληροφοριες για να μπορεσουμε να σε βοηθησουμε. Κατα 99,9% ομως γινεται μιας και τα ΜΤ επεξεργαζονται μια μεγαλη γκαμα πρωτοκολλων.

[Nikiforos]

υπαρχει θεμα για το firewall σε mikrotik https://www.adslgr.com/forum/threads...-IPv6-firewall

[alefgr]

υπαρχει θεμα για το firewall σε mikrotik https://www.adslgr.com/forum/threads...-IPv6-firewall

Πιστεύω πως αυτή είναι μια ειδική περίπτωση και δεν ανήκει στην γενική κατηγορία του thread για τις ρυθμίσεις firewall. Εδώ ο ρόλος του mikrotik πρέπει να είναι αποκλειστικά σαν firewall και το router να είναι ανενεργό.

Πολυ γενικη η τοποθετηση σου χωρις πληροφοριες για να μπορεσουμε να σε βοηθησουμε. Κατα 99,9% ομως γινεται μιας και τα ΜΤ επεξεργαζονται μια μεγαλη γκαμα πρωτοκολλων.

Το γενικό πλάνο είναι απλό. Για παράδειγμα έχουμε σύνδεση του LAN στο ether1 με subnet 192.168.10.0 που βλέπει σαν gateway το 192.168.10.1. Στο ether2 interface που και αυτό ανήκει στο subnet 192.168.10.0 έχουμε σύνδεση με τον avr που είναι για παράδειγμα στην ip 192.168.10.200.

Το ερώτημα είναι πως μπορούμε να κάνουμε όλα τα πακέτα που διέρχονται από τα interfaces ether1 και ether2 να περνούν από το firewall του mikrotik ώστε να μπορέσω να απορρίψω τα πακέτα που μου κάνουν ζημιά.

[Nikiforos]

μονο που λες για πραγματα που εκει ηδη εχουν αναφερθει....αλλα τεσπα!

[macro]

Ολα τα πακετα θα παιρνανε ουτως ή αλλως απο το firewall απο ολες τις θυρες και εκει μετα μπορεις να κοψεις ραψεις.

[Ashtaroth]

Αν κατάλαβα καλά θέλεις firewall για 2 interfaces που ανήκουν στο ίδιο Bridge

πας στο Bridge -> settings και ενεργοποιείς το use IP Firewall
και μετα στο μενου του Bridge έχει καρτέλα Filters όπου βάζεις τους κανόνες σου.

νόμιζω όμως οτι θα σου τρώει πολύ CPU

[alefgr]

Όντως θέλω ο ενισχυτής να ανήκει στο ίδιο subnet για να έχω πρόσβαση από οποιοδήποτε μηχάνημα στο web interface του.

Όσο για το αν δουλεύει πολύ την CPU, δεν με πειράζει γιατί μόνο μία συσκευή θα εξυπηρετεί. Όλη η ιστορία γίνεται για να κόψω τα multicast πακέτα 224.0.0.0-239.255.255.255 που μου προξενούν πρόβλημα στον ενισχυτή.

Αυτή την ρύθμιση ούτε που την είχα δει ότι υπήρχε. Θα το δοκιμάσω.