交流 › RouterOS › 请教，是不是接口加入网桥之后，对接口的防火墙策略就不起作用了

khtwlhnh 发表于 2012-2-24 14:34:51

请教，是不是接口加入网桥之后，对接口的防火墙策略就不起作用了

如题
3.30版，有三个网口，123
E1,E2，加入网桥1，E1接服务器，E2接内网，E3接外网
因为E1的服务器同时对内对外服务，所以需要限制
然后我设置策略，E1进入的DROP，但是不起作用
要禁用网桥1才行

可是我现在用的2.9.27版，就是这么做的，同样的策略可以限制住E1
请问为什么会这样

khtwlhnh 发表于 2012-2-24 14:52:35

你好，我因为对内对外服务器都在同一网段，平时内部都用IP访问，不方便改IP，所以只能设网桥
我用WINBOX设置的，应该是在/ip firewall filter中过滤
你说配置桥时要选择use ip firewall.我看了桥的设置好象没这个选项，还是只能用命令设置呢？谢谢

khtwlhnh 发表于 2012-2-24 14:58:36

谢谢，use ip firewall我设置了，结果还是一样
我设了两条策略，一条禁止ETH2转发，一条禁止桥转发
前面一条一直没起作用

khtwlhnh 发表于 2012-2-24 15:38:55

本帖最后由 khtwlhnh 于 2012-2-24 15:46 编辑

策略导出有点乱，我直接说吧
策略我用WINBOX设的，导出后其中两条就是这样add action=drop chain=forward comment="" disabled=yes in-interface=ether1E1,E2设成网桥，互相PING得通
然后我加了上面那个策略，结果E1还是PING得通E2
接着再加这个策略add action=accept chain=forward comment="" disabled=yes in-interface=\
    bridge1-lanPING之后发现网桥这条策略有数据包通过，而上面一条接口的策略没有任何数据，都是0/interface bridge settings
set use-ip-firewall=yes use-ip-firewall-for-pppoe=no \
    use-ip-firewall-for-vlan=no这个设置了


我想要的效果是，E1放服务器，所以E1禁止发起连接，我用2.9.27就是这么设的，现在想换3.3发现这个问题

khtwlhnh 发表于 2012-2-24 15:40:07

策略是生效的，不是禁用，导出的时候没注意状态

khtwlhnh 发表于 2012-2-24 15:45:12

/interface bridge
add admin-mac=00:00:00:00:00:00 ageing-time=5m arp=enabled auto-mac=yes \
    comment="" disabled=no forward-delay=15s l2mtu=65535 max-message-age=20s \
    mtu=1500 name=bridge1-lan priority=0x8000 protocol-mode=none \
    transmit-hold-count=6/interface bridge port
add bridge=bridge1-lan comment="" disabled=no edge=auto external-fdb=auto \
    horizon=none interface=ether1 path-cost=10 point-to-point=auto priority=\
    0x80
add bridge=bridge1-lan comment="" disabled=no edge=auto external-fdb=auto \
    horizon=none interface=ether2 path-cost=10 point-to-point=auto priority=\
    0x80

khtwlhnh 发表于 2012-2-24 17:31:33

你好，谢谢
我用bridge filter是可以限制E1访问E2了，但是E2也访问不了E1了
在2.9的时候我在IP firewall里限制E1，只要加一条允许established数据的策略，E2就可以访问E1
现在加了没效果，而bridge filter里没这个选项
请问这个是什么原因呢

khtwlhnh 发表于 2012-2-24 17:46:35

本帖最后由 khtwlhnh 于 2012-2-24 17:48 编辑

真不好意思，谢谢你耐心详细地回答
你说mangle packet mark是怎么设置的呢？

我也不是非要用in-interface参数,我的环境其实很简单123，三个网口
E3接外网，E1,E2桥接，E1接服务器，E2接内网
因为最早的防火墙设置DMZ区把E1隔离开了，内外网都能访问E1，但E1不能访问E2,E3
E1跟E2最早就是桥接的，服务器网段接外网
还有些内网服务器放在E2下面，跟E1中服务器同一网段
最早用过品牌防火墙，现在用ROS2.9，都是这样设置的
服务器的IP都是固定的，不方便改，有其它方法能让ROS3.3实现跟以前一样的效果吗

khtwlhnh 发表于 2012-2-24 17:48:56

本帖最后由 khtwlhnh 于 2012-2-24 17:52 编辑


用桥其实是历史遗留问题，因为E1跟E2的服务器都是同一网段的，IP还不方便改


我怕对外的服务器受攻击影响内网，所以E1的服务器不能放在内网里

khtwlhnh 发表于 2012-2-25 00:17:42

好的，谢谢
最让我郁闷的是2.9.27这样配置运行得很好，没想到3.3的搞不定
不知道是什么原因

查看完整版本: 请教，是不是接口加入网桥之后，对接口的防火墙策略就不起作用了