Mikrotik - Ohne Routing Ports blocken
Hallo zusammen,
ich möchte mit einem Mikrotik ein einzelnes Gerät vom Netzwerk abschotten. Dieses darf nur noch einen einzelnen UDP Port empfangen dürfen. Senden darf es alles.
Nun habe ich die beiden Ports über eine Bridge verbunden und wollte einen entsprechenden Filter setzen. Doch nach meinem Verständniss greift er nicht, da ja nicht geroutet wird. Richtig?
Gibt es noch eine andere Möglichkeit?
Die Besonderheit ist, der MK darf keine IP Adressen bekommen!
ich möchte mit einem Mikrotik ein einzelnes Gerät vom Netzwerk abschotten. Dieses darf nur noch einen einzelnen UDP Port empfangen dürfen. Senden darf es alles.
Nun habe ich die beiden Ports über eine Bridge verbunden und wollte einen entsprechenden Filter setzen. Doch nach meinem Verständniss greift er nicht, da ja nicht geroutet wird. Richtig?
Gibt es noch eine andere Möglichkeit?
Die Besonderheit ist, der MK darf keine IP Adressen bekommen!
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 391749
Url: https://administrator.de/forum/mikrotik-ohne-routing-ports-blocken-391749.html
Ausgedruckt am: 25.12.2024 um 13:12 Uhr
5 Kommentare
Neuester Kommentar
Zitat von @BoomBoomBen:
Nun habe ich die beiden Ports über eine Bridge verbunden und wollte einen entsprechenden Filter setzen. Doch nach meinem Verständniss greift er nicht, da ja nicht geroutet wird. Richtig?
Durch die Bridge befinden sich beide Ports in der selben Layer-2 Domain, die normale Firewall greift also nicht das ist richtig, aber der Mikrotik bietet an auf der Bridge ebenfalls eine Firewall zu aktivieren. Wenn man das tut fließen die Pakete der einzelnen Ports wieder durch eine Firewall die auch diese Pakete filtern kannNun habe ich die beiden Ports über eine Bridge verbunden und wollte einen entsprechenden Filter setzen. Doch nach meinem Verständniss greift er nicht, da ja nicht geroutet wird. Richtig?
https://wiki.mikrotik.com/wiki/Manual:Interface/Bridge#Bridge_Settings
use-ip-firewall = yes
Diese hat in der Bridge Section einen eigenen Bereich.
Und es gibt ja immer noch die Client-Firewall .
Gruß l.
Hi,
Wenn du Winbox verwendest gehst auf Bridges und machst den Reiter "Filters" auf. Dort setzt du dann deine Firewall-Regeln für die Bridge
Gruß
Wenn du Winbox verwendest gehst auf Bridges und machst den Reiter "Filters" auf. Dort setzt du dann deine Firewall-Regeln für die Bridge
Gruß
Doch nach meinem Verständniss greift er nicht, da ja nicht geroutet wird. Richtig?
Das ist richtig verstanden !Ist die Frage ob die MT Firewall überhaupt auf Layer 2, sprich also nur auf Mac Adress Ebenen nach Layer 3 Kriterien wie UDP Ports filtern kann. Musst du probieren....
Du machst ja aus dem Router über das Bridge Interface eine dumme Bridge die nur nach Mac Adressen eine Traffic Forwarding Entscheidung fällt.
Ob die MT Firewall dann zwischen 2 zur Bridge bzw. einem logischen Bridge Interface zusammengefassten Einzel Interfaces nach Layer 3 Kriterien filtern kann bleibt abzuwarten.
Mit dem dann zwingend erforderlichen "use-ip-firewall" Kommando sollte es aber klappen.
Versuch macht klug....!
Ansonsten kommst du um ein geroutetes Umfeld nicht drumrum indem du diesen Client in ein separates IP Netz hängst und der MT macht wofür er bestimmt ist nämlich zu routen. Dann greifen auch ganz sicher die Firewall Regeln.