3
Drop Regel hat unerwartetes Verhalten
Hallo mal wieder,
mein MikroTik Hex ist endlich angekommen und ich habe schon etwas damit herumgespielt. Das ist schon ein süßer Kasten
Mein vereinfachter Netzwerkaufbau ist momentan:
Im MikroTik wurde vom Laptop über Winbox aus folgendes Eingestellt:
Interressanterweise ist aber auch nach reboot des MT noch google suche erreichbar, www.heise.de und vieles mehr.
Das einzige was ich momentan feststellen kann was wirklich blockiert ist, ist www.speedtest.net (was ohne die Regel funktioniert).
Wenn ich eine solche Drop-Regel unter Bridge->Filters eintrage, passiert was ich erwarte, nämlich dass gar nichts mehr erreichbar ist.
(Allerdings kann ich hier keine IP-Regeln eintragen, weshalb ich schon die IP-Firewall nutzen möchte)
Hat vielleicht jemand eine Vermutung was ich bei meiner Konfiguration übersehe?
LG
Duck
mein MikroTik Hex ist endlich angekommen und ich habe schon etwas damit herumgespielt. Das ist schon ein süßer Kasten
Mein vereinfachter Netzwerkaufbau ist momentan:
Default Config gelöscht
Bridge1 hinzugefügt
Ether1 und Ether2 zu Bridge1 hinzugefügt
Unter Bridge Settings "Use IP Firewall" aktiviert
Unter IP->Firewall->Regel hinzugefügt in der Forward Chain, Action drop (keine sonstigen expressions)
Nun würde ich erwarten, dass wirklich jeder durch die Bridge geleiteteter Traffic gedroppt wird.Bridge1 hinzugefügt
Ether1 und Ether2 zu Bridge1 hinzugefügt
Unter Bridge Settings "Use IP Firewall" aktiviert
Unter IP->Firewall->Regel hinzugefügt in der Forward Chain, Action drop (keine sonstigen expressions)
Interressanterweise ist aber auch nach reboot des MT noch google suche erreichbar, www.heise.de und vieles mehr.
Das einzige was ich momentan feststellen kann was wirklich blockiert ist, ist www.speedtest.net (was ohne die Regel funktioniert).
Wenn ich eine solche Drop-Regel unter Bridge->Filters eintrage, passiert was ich erwarte, nämlich dass gar nichts mehr erreichbar ist.
(Allerdings kann ich hier keine IP-Regeln eintragen, weshalb ich schon die IP-Firewall nutzen möchte)
Hat vielleicht jemand eine Vermutung was ich bei meiner Konfiguration übersehe?
LG
Duck
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 2412392506
Url: https://administrator.de/contentid/2412392506
Ausgedruckt am: 15.11.2024 um 23:11 Uhr
3 Kommentare
Neuester Kommentar
Du hast da einen Denkfehler. Da du Ether1 und Ether2 in einer gemeinsamen Bridge liegen hast also in ein und der selben Layer2 Domain findet ja gar kein "Forwarding" in dem Sinne statt weil du ja keine unterschiedlichen Subnetze hast 
. Das Blocken geht dann nur mit den Regeln in der Bridge-Firewall. Wenn du stattdessen Routen würdest, also ether1 und ether2 aus der Bridge rausnehmen und dort unterschiedliche Subnetze benutzen würdest also ein Transfernetz zur Fritte dann würde das mit ip firewall und der Regel in der "forwarding" chain Regel auch funktionieren.
. Das Blocken geht dann nur mit den Regeln in der Bridge-Firewall. Wenn du stattdessen Routen würdest, also ether1 und ether2 aus der Bridge rausnehmen und dort unterschiedliche Subnetze benutzen würdest also ein Transfernetz zur Fritte dann würde das mit ip firewall und der Regel in der "forwarding" chain Regel auch funktionieren.
1
Um Bridge Traffic durch die Firewall zu schicken musst du das in den Bridge Settings aktivieren.
https://forum.mikrotik.com/viewtopic.php?t=159984
https://forum.mikrotik.com/viewtopic.php?t=159984
@148523 habe ich schon gemacht, siehe post ^^
@1915348599
Du hast völlig recht. Ich habe den MikroTik jetzt in der Default-Konfig mal eingeschaltet (mit eigenem Netz also) und jetzt funktionieren die Firewall regeln wie erwartet. Nur interressant, dass vorher das www.speedtest.net blockiert wurde...
Vielen Dank für die Hilfe!
LG
Duck
@1915348599
Du hast völlig recht. Ich habe den MikroTik jetzt in der Default-Konfig mal eingeschaltet (mit eigenem Netz also) und jetzt funktionieren die Firewall regeln wie erwartet. Nur interressant, dass vorher das www.speedtest.net blockiert wurde...
Vielen Dank für die Hilfe!
LG
Duck
