lightman
Goto Top

RB2011 Firewall Rule eine bestimmte Mac oder IP Adresse nicht zu blockieren

Hallo liebes Forum mit ihren Spezialisten.


Ich habe meine Firewall so konfiguriert das kein Endgerät ohne meine Speziellen Erlaubnis ein Update machen kann.


ich habe folgende Regel in meiner Firewall laufen:

chain=forward action=drop layer7-protocol=Gesperte update log=no log-prefix=""


Jetzt möchte ich da wir eine Playstation4 bekommen haben und diese sonst nicht funktioniert, das alle anderen Endgeräte gesperrt bleiben aber die Playstation mit diese Regel nicht blockiert wird entweder per IP oder Mac Adresse.

Wie stelle ich das am besten an.

Mit freundlichen Grüßen. Lightman

Danke schon einmal vorab

Content-ID: 365187

Url: https://administrator.de/forum/rb2011-firewall-rule-eine-bestimmte-mac-oder-ip-adresse-nicht-zu-blockieren-365187.html

Ausgedruckt am: 22.12.2024 um 15:12 Uhr

maretz
maretz 18.02.2018 um 18:33:03 Uhr
Goto Top
moin,

am besten fängst du damit an uns zu erleuchten womit du deine firewall so machst...

Ansonsten ist es doch einfach - SRC-Mac als Allow eintragen und gut...
lightman
lightman 18.02.2018 um 19:17:04 Uhr
Goto Top
am besten fängst du damit an uns zu erleuchten womit du deine firewall so machst WARUM IST DOCH IRRELEVANT

Wenn ich die Regel ausgeschaltet habe geht die Playstation wenn die ein ist geht es nicht.

aber die sollte immer eingeschaltet sein sonst macht der Rest Unfug und das will ich nicht.

Das mit SRC-Mac hab ich gemacht aber was meinst du mit ALLOW (Sorry kann leider fast kein Englisch)

lg. Lightman
maretz
maretz 18.02.2018 um 19:51:01 Uhr
Goto Top
Ok, da du offentsichtlich nicht helfen möchtest das man dir helfen kann bin ich raus hier... ganz ehrlich, ich habe kein Problem bei dem ich Hilfe benötige... Aber viel erfolg noch so jemanden zu finden der dir helfen wird.
tikayevent
tikayevent 18.02.2018 um 19:55:43 Uhr
Goto Top
Du erstellst einfach eine Allow-Regel für die IP-Adresse der PS4.
wiesi200
wiesi200 18.02.2018 um 20:29:13 Uhr
Goto Top
Zitat von @lightman:

am besten fängst du damit an uns zu erleuchten womit du deine firewall so machst WARUM IST DOCH IRRELEVANT

Vermutlich ist alles Irrelevanter als genau diese Frage. Denn wenn von uns zufällig das kennt, kann er dir auch einfach sagen was zu tun ist.
Ansonsten können wir nur gundlegen helfen.

Wenn ich die Regel ausgeschaltet habe geht die Playstation wenn die ein ist geht es nicht.
Tja sollte auch so sein.

aber die sollte immer eingeschaltet sein sonst macht der Rest Unfug und das will ich nicht.
solltest du auch nicht müssen, und hat auch noch keiner gesagt das du das machen solltest.

Das mit SRC-Mac hab ich gemacht aber was meinst du mit ALLOW (Sorry kann leider fast kein Englisch)
ALLOW bedeutet erlauben.

Du musst eine Regel erstellen die der IP Adresse den Zugriff erlaubt (ALLOW), DENY währe dann verbieten.
Und diese ALLOW Regel muss vor dem Verbot abgearbeitet werden.

Mehr können wir die hier mit deinen kümmerlichen Angaben nicht helfen.

Und wenn du willst das wir dir helfen können. Kooperativ und freundlich sein!
Spirit-of-Eli
Spirit-of-Eli 18.02.2018 um 20:38:36 Uhr
Goto Top
Ist das nicht ein simpler iptables string?

Hier geht das System von oben nach unten durch das Regelwerk (First-Match Prinzip).
Also wie schon gesagt wurde, vor deiner Deny Rule muss die Spezielle Allow Rule.
lightman
lightman 18.02.2018 um 20:40:51 Uhr
Goto Top
Danke einmal werde das ganze mal neu testen.

Und ich will nicht unfreundlich sein aber das ganze am Handy eintippen ist ziemlich mühsam

lg. Lightman
Spirit-of-Eli
Spirit-of-Eli 18.02.2018 aktualisiert um 20:49:36 Uhr
Goto Top
Moin,

Deine Hürde wird sein, das du bei der Art Firewall ums Englische nicht drum herum kommst.
http://www.online-tutorials.net/internet-netzwerk/iptables-tutorial/tut ...

#Auf was für einer Hardware liegt das System denn?
#
Warum nutzt du nicht eines der System, die z.B. hier im Forum "Supportet" werden?
Edit: Gerade erst gelesen.

Gruß
Spirit
kaiand1
kaiand1 18.02.2018 um 21:29:40 Uhr
Goto Top
Nun da im Topic RB2011 steht würde ich auf RouterOS von Mikrotik sagen.
Jedoch wurde im Text kein Hersteller/Modell genannt wodurch jeder ja eine Kristallkugel hat dafür ;)
Aber wie schon erwähnt wurde eine Allow Rule erstellen auf die MAC der PS4 und dann geht es auch.
Pjordorf
Pjordorf 18.02.2018 um 21:46:45 Uhr
Goto Top
Hallo,

Zitat von @lightman:
Und ich will nicht unfreundlich sein aber das ganze am Handy eintippen ist ziemlich mühsam
Und? Da sind wir jetzt dran schuld das du keine möglichkeit hattes Englsh zu lernen oder zumindest Google Translate nicht bedienen kannst oder das du mit ein ungeeignetes Gerät hier nicht vernünftig Schreiben kannst? Du bist doch der welcher hier Hilfe erwartet, nicht wir.

Also welches OS und Version werkelt auf dein RB2011?
Welche Regel wird denn angewandt wenn es geht bzw. nicht geht? (Regeln haben eine Rangfolge und sind meistens nummeriert. Die Erste Regel wo die Bedingungen erfüllt werden, gewinnt, ansonsten dprfte deine letzte Regel mit Deny Deny Deny (Verboten erboten Verboten) zutreffen) Was sagt den das Protokoll deiner unbekannten Firewall zu dem was diese Anwendet?

PS. Wir wissen nur das was du hier shreibst, ansonsten sind wir Blind und Taub und haben auch keine Kentnisse davon was du hast, tust, kannst.

Gruß,
Peter
lightman
lightman 19.02.2018 um 18:51:14 Uhr
Goto Top
Bitte um eure Hilfe ich habe einen Mikrotik Rb2011 Uias und einen rb 260 GS laufen

Hier sind meine FW Regel:
Mein Problem geht ab Zeile 86 los


Flags: X - disabled, I - invalid, D - dynamic
0 ;;; iWinbox-SNMP
chain=input action=accept protocol=udp dst-port=161

1 ;;; MikroTik Original
chain=input action=accept protocol=icmp log=no log-prefix=""

2 ;;; MikroTik Original Accept to established connections
chain=input action=accept connection-state=established,related log=no
log-prefix=""

3 ;;; MikroTik Original Accept to related connections
chain=input action=accept connection-state=related log=no log-prefix=""

4 ;;; PPTP VPN-Verbindung udp
chain=input action=accept protocol=udp in-interface=P1-WAN-UPC
dst-port=500,1701,4500 log=no log-prefix=""

5 ;;; PPTP VPN-Verbindung IPsec
chain=input action=accept protocol=ipsec-esp in-interface=P1-WAN-UPC
log=no log-prefix=""

6 ;;; PPTP VPN erlauben
chain=input action=accept protocol=tcp dst-port=!1723 log=no
log-prefix=""

7 ;;; PPTP VPN erlauben
chain=output action=accept protocol=udp dst-port=!1723 log=no
log-prefix=""

8 ;;; PPTP VPN erlauben
chain=output action=accept protocol=tcp dst-port=!1723 log=no
log-prefix=""

9 ;;; PPTP VPN erlauben
chain=input action=accept protocol=!gre log=no log-prefix=""

10 ;;; f r VPN wenn NEW aus ist geht keine VPN+TIKTOOL?
chain=input action=accept connection-state=related,new log=no
log-prefix=""

11 ;;; VU+Solo2 CS-CCAM
chain=forward action=accept protocol=udp dst-address=192.168.2.115
port=45000 log=no log-prefix=""

12 ;;; VU+Solo2 CS-CCAM
chain=forward action=accept protocol=tcp dst-address=192.168.2.115
in-interface=P1-WAN-UPC port=45000 log=no log-prefix=""

13 ;;; VU+duo2 CS-CCAM
chain=forward action=accept protocol=udp dst-address=192.168.2.110
port=13000 log=no log-prefix=""

14 ;;; VU+duo2 CS-CCAM
chain=forward action=accept protocol=tcp dst-address=192.168.2.110
in-interface=P1-WAN-UPC port=13000 log=no log-prefix=""

15 ;;; VU+duo2 en2Player
chain=forward action=accept protocol=tcp dst-address=192.168.2.110
in-interface=P1-WAN-UPC port=20110 log=no log-prefix=""

16 ;;; Voice Bridge-Home
chain=forward action=accept protocol=udp dst-address=192.168.2.25
port=80,443,5060,10321 src-mac-address=00:05:90:1F:BA:A7 log=no
log-prefix=""

17 ;;; Voice Bridge-Home
chain=forward action=accept protocol=tcp dst-address=192.168.2.25
port=80,443,5060,10321 src-mac-address=00:05:90:1F:BA:A7 log=no
log-prefix=""

18 ;;; Voice Bridge-Stadthalle-Lan7
chain=forward action=accept protocol=udp dst-address=192.168.7.36
port=80,443,5060,10321 src-mac-address=00:05:90:20:05:3C log=no
log-prefix=""

19 ;;; Voice Bridge-Stadthalle-Lan7
chain=forward action=accept protocol=tcp dst-address=192.168.7.36
port=80,443,5060,10321 src-mac-address=00:05:90:20:05:3C log=no
log-prefix=""

20 ;;; Mac
chain=forward action=accept protocol=udp dst-address=192.168.2.37
src-mac-address=00:05:90:1F:BA:A7 log=no log-prefix=""

21 ;;; Mac
chain=forward action=accept protocol=tcp dst-address=192.168.2.37
src-mac-address=00:05:90:1F:BA:A7 log=no log-prefix=""

22 ;;; qnap system
chain=forward action=accept protocol=udp port=38854,6881 log=no
log-prefix=""

23 ;;; Ecobee Thermostat port 8089 Weiterleitung
chain=forward action=accept protocol=tcp port=8089
src-mac-address=00:19:88:42:EF:E8 log=no log-prefix=""

24 ;;; Ecobee Thermostat port 8089 Weiterleitung
chain=forward action=accept protocol=udp port=3483
src-mac-address=00:19:88:42:EF:E8 log=no log-prefix=""

25 ;;; UE Smartradio Wohnzimmer 00:04:20:2d:01:33 Nicht abschalten sonst kei>
Funktion von Internetradio
chain=forward action=accept protocol=tcp port=3483,9000,9090
src-mac-address=00:04:20:2D:01:33 log=no log-prefix=""

26 ;;; UE Smartradio Keller 00-04-20-2E-45-CC Nicht abschalten sonst keine F>
tion von Internetradio
chain=forward action=accept protocol=tcp port=3483,9000,9090
src-mac-address=00:04:20:2E:45:CC log=no log-prefix=""

27 ;;; SqueezeboxTouch-STH Nicht abschalten sonst keine Funktion von Internet>
io
chain=forward action=accept protocol=tcp port=3483,9000,9090
src-mac-address=00:04:20:23:20:41 log=no log-prefix=""

28 XI ;;; UE Smartradio Nicht abschalten sonst keine Funktion von Internetradi>
:04:20:2D:01:33
chain=forward action=accept protocol=tcp src-address=79.125.111.32
port=3483,9000,9090 src-mac-address=00:04:20:2D:01:33 log=no
log-prefix=""

29 XI ;;; UE Smartradio Nicht abschalten sonst keine Funktion von Internetradi>
:04:20:2D:01:33
chain=forward action=accept protocol=tcp src-address=79.125.16.68
port=3483,9000,9090 src-mac-address=00:04:20:2D:01:33 log=no
log-prefix=""

30 XI ;;; UE Smartradio Nicht abschalten sonst keine Funktion von Internetradi>
:04:20:2D:01:33
chain=forward action=accept protocol=tcp src-address=176.34.103.114
port=3483,9000,9090 src-mac-address=00:04:20:2D:01:33 log=no
log-prefix=""

31 XI ;;; UE Smartradio Nicht abschalten sonst keine Funktion von Internetradi>
:04:20:2D:01:33
chain=forward action=accept protocol=udp src-address=79.125.111.32
port=3483,9000,9090 src-mac-address=00:04:20:2D:01:33 log=no
log-prefix=""

32 XI ;;; UE Smartradio Nicht abschalten sonst keine Funktion von Internetradi>
:04:20:2D:01:33
chain=forward action=accept protocol=udp src-address=79.125.16.68
port=3483,9000,9090 src-mac-address=00:04:20:2D:01:33 log=no
log-prefix=""

33 XI ;;; UE Smartradio Nicht abschalten sonst keine Funktion von Internetradi>
:04:20:2D:01:33
chain=forward action=accept protocol=udp src-address=176.34.103.114
port=3483,9000,9090 src-mac-address=00:04:20:2D:01:33 log=no
log-prefix=""

34 ;;; Alexa
chain=forward action=accept protocol=udp
port=123,443,4070,5353,40317,49317,33434 log=no log-prefix=""

35 ;;; Alexa
chain=forward action=accept protocol=tcp
port=123,443,4070,5353,40317,49317,33434 log=no log-prefix=""

36 ;;; Amazon TV
chain=forward action=accept protocol=udp port=8090,5555 log=no
log-prefix=""

37 ;;; Amazon TV
chain=forward action=accept protocol=tcp port=8090,5555 log=no
log-prefix=""

38 ;;; Skype Port 59731,55389,54045,1024,65535,22939,443
chain=forward action=accept protocol=udp
port=59731,55389,54045,1024,65535,22939,443,5222 log=no log-prefix=""

39 ;;; Skype Port 59731,55389,54045,1024,65535,22939,443
chain=forward action=accept protocol=tcp
port=59731,55389,54045,1024,65535,22939,443,5222 log=no log-prefix=""

40 XI ;;; QNAP VPN 1723 durchleiten derzeit AUS da VPN am Router eingerichtet i>
nd sowieso dadurch ein ist
chain=forward action=accept protocol=udp port=1723 log=no log-prefix=""

41 XI ;;; f r VPN
chain=input action=log in-interface=P1-WAN-UPC log=no log-prefix=""

42 ;;; f r VPN
chain=input action=drop in-interface=P1-WAN-UPC log=no log-prefix=""

43 XI ;;; Add Syn Flood IP to the list
chain=input action=add-src-to-address-list tcp-flags=syn
connection-limit=30,32 protocol=tcp address-list=Syn_Flooder
address-list-timeout=30m log=no log-prefix=""

44 XI ;;; Drop to syn flood list
chain=input action=drop src-address-list=Syn_Flooder log=no log-prefix=""

45 ;;; gatewang.com Virus Seite
chain=forward action=drop layer7-protocol=gatewang.com Virus Seite log=no
log-prefix=""

46 XI ;;; Port Scanner Detect
chain=input action=add-src-to-address-list protocol=tcp psd=21,3s,3,1
address-list=Port_Scanner address-list-timeout=1w log=no log-prefix=""

47 XI ;;; Drop to port scan list
chain=input action=drop src-address-list=Port_Scanner log=no
log-prefix=""

48 ;;; Jump for icmp input flow
chain=input action=jump jump-target=ICMP protocol=icmp log=no
log-prefix=""

49 ;;; Jump for icmp forward flow
chain=forward action=jump jump-target=ICMP protocol=icmp log=no
log-prefix=""

50 XI ;;; Drop to bogon list
chain=forward action=drop dst-address-list=bogons log=no log-prefix=""

51 XI ;;; Add Spammers to the list for 3 hours
chain=forward action=add-src-to-address-list connection-limit=30,32
protocol=tcp address-list=spammers address-list-timeout=3h
dst-port=25,587 limit=0/1m,0:packet log=no log-prefix=""

52 XI ;;; Avoid spammers action
chain=forward action=drop protocol=tcp src-address-list=spammers
dst-port=25,587 log=no log-prefix=""

53 ;;; Accept DNS - UDP
chain=input action=accept protocol=udp port=53 log=no log-prefix=""

54 ;;; Accept DNS - TCP
chain=input action=accept protocol=tcp port=53 log=no log-prefix=""

55 ;;; Full access to SUPPORT address list
chain=input action=accept src-address-list=support log=no log-prefix=""

56 ;;; Echo request - Avoiding Ping Flood
chain=ICMP action=accept protocol=icmp icmp-options=8:0 limit=,5 log=no
log-prefix=""

57 ;;; Echo reply
chain=ICMP action=accept protocol=icmp icmp-options=0:0 log=no
log-prefix=""

58 ;;; Time Exceeded
chain=ICMP action=accept protocol=icmp icmp-options=11:0 log=no
log-prefix=""

59 ;;; Destination unreachable
chain=ICMP action=accept protocol=icmp icmp-options=3:0-1 log=no
log-prefix=""

60 ;;; PMTUD
chain=ICMP action=accept protocol=icmp icmp-options=3:4 log=no
log-prefix=""

61 ;;; Drop to the other ICMPs
chain=ICMP action=drop protocol=icmp log=no log-prefix=""

62 ;;; Jump for icmp output
chain=output action=jump jump-target=ICMP protocol=icmp log=no
log-prefix=""

63 ;;; Alle Verbindungen vom Lan zum Router erlauben
chain=input action=accept in-interface=P1-WAN-UPC log=no log-prefix=""

64 XI ;;; gesperrte SSH IPs blockieren (FEHLER)???
chain=forward action=accept src-address-list=SSH-Blacklist log=no
log-prefix=""

65 XI ;;; gesperrte Port-Sanner IPs blockieren
chain=forward action=drop src-address-list=Portscan Blacklist log=no
log-prefix=""

66 XI ;;; FTP-Blacklist
chain=forward action=drop src-address-list=FTP-Blacklist log=no
log-prefix=""

67 ;;; ung ltige Packete blockieren
chain=forward action=drop connection-state=invalid log=no log-prefix=""

68 ;;; Alle anderen Verbindungen zum ROUTER blockieren
chain=input action=drop log=no log-prefix=""

69 XI ;;; Hotspotuser gesperrt
chain=hs-unauth-to action=drop out-interface=bridge Hotspot 5.1
src-mac-address=00:15:6D:F6:1E:A7 log=no log-prefix=""

70 XI ;;; place hotspot rules here
chain=unused-hs-chain action=passthrough log=no log-prefix=""

71 ;;; Update offen f r Ipad Stadthalle
chain=forward action=accept connection-limit=100,24
layer7-protocol=!Gesperte update src-mac-address=DC:86:D8:EA:BE:4D
limit=1,5:packet log=no log-prefix=""

72 XI ;;; Update offen f r Mac-MINI
chain=forward action=accept layer7-protocol=!Gesperte update
src-mac-address=38:C9:86:10:E9:76 log=no log-prefix=""

73 ;;; Update offen f rMac-Book Pro
chain=forward action=accept layer7-protocol=!Gesperte update
src-mac-address=E0:F8:47:39:35:86 log=no log-prefix=""

74 ;;; Gesperrt MSN ohne MAC
chain=forward action=accept layer7-protocol=!Gesperte msn
src-mac-address=38:C9:86:10:E9:76 log=no log-prefix=""

75 ;;; Gesperrt Microsoft ohne mac
chain=forward action=accept connection-limit=100,24
layer7-protocol=!Gesperte Micorsoft src-mac-address=38:C9:86:10:E9:76
limit=1,5:packet log=no log-prefix=""

76 ;;; Gesperrt Microsoft ohne Ipad Stadthalle
chain=forward action=accept connection-limit=100,24
layer7-protocol=!Gesperte Micorsoft src-mac-address=DC:86:D8:EA:BE:4D
limit=1,5:packet log=no log-prefix=""

77 XI ;;; Gesperrte Seiten sex
chain=forward action=drop layer7-protocol=Gesperrt Sex log=no
log-prefix=""

78 ;;; Gesperrte Seiten Hotmail
chain=forward action=drop layer7-protocol=Gesperte Hotmail log=no
log-prefix=""

79 XI ;;; Gesperrte Seiten You Tube Hannah
chain=forward action=drop layer7-protocol=You Tube Hannah
src-mac-address=74:E2:F5:BB:E5:A1 log=no log-prefix=""

80 ;;; Gesperrte Seiten tuneup
chain=forward action=drop layer7-protocol=Gesperte tuneup log=no
log-prefix=""

81 ;;; Gesperrte Seiten Pop-UP
chain=forward action=drop layer7-protocol=Pop-up log=no log-prefix=""

82 XI ;;; Gesperrt Microsoft geht auch kein Skype
chain=forward action=drop connection-limit=100,24
layer7-protocol=Gesperte Micorsoft limit=1,5:packet log=no log-prefix=""

83 ;;; Gesperrt MSN
chain=forward action=drop layer7-protocol=Gesperte msn
src-mac-address=!F8:46:1C:45:B2:D3 log=no log-prefix=""

84 XI ;;; Gelogt Update
chain=forward action=log layer7-protocol=Gesperte update log=no
log-prefix=""

85 XI ;;; Abstandhalter
chain=forward action=log log=no log-prefix=""

86 ;;; Gesperrt Update ausgnommen Playstation4 Mac:F8:46:1C:45:B2:D3
chain=forward action=drop layer7-protocol=Gesperte update
src-mac-address=!F8:46:1C:45:B2:D3 log=no log-prefix=""

87 ;;; Vlan "established; related"
chain=forward action=accept connection-state=established,related log=no
log-prefix=""

88 ;;; Vlan1 "chain=forward in-interface=vlan1 out-interface=vlan20" SERVICE>
arf auf Zelli zugreifen
chain=forward action=accept in-interface=vlan1 SERVICE
out-interface=bridge Zelli 2.1 log=no log-prefix=""

89 ;;; Vlan20 "chain=forward in-interface=vlan1 out-interface=Vlan1" ZELLI >
f auf SERVICE zugreifen
chain=forward action=accept in-interface=bridge Zelli 2.1
out-interface=vlan1 SERVICE log=no log-prefix=""

90 XI ;;; Vlan70 "chain=forward in-interface=vlan1 out-interface=Vlan1" STADTH>
darf auf SERVICE zugreifen
chain=forward action=accept in-interface=bridgeStadthalle 7.1
out-interface=Service 1.1 log=no log-prefix=""

91 ;;; Vlan1 "chain=forward in-interface=vlan1 out-interface=vlan30" SERVICE>
arf auf GASTRO zugreifen
chain=forward action=accept in-interface=vlan1 SERVICE
out-interface=bridge Gastro 3.1 log=no log-prefix=""

92 ;;; Vlan1 "chain=forward in-interface=vlan1 out-interface=vlan40" SERVICE>
arf auf NACHBARN zugreifen
chain=forward action=accept in-interface=vlan1 SERVICE
out-interface=bridge Nachbar 4.1 log=no log-prefix=""

93 XI ;;; Vlan1 "chain=forward in-interface=vlan1 out-interface=vlan50" SERVIC>
rf auf HOTSPOT zugreifen
chain=forward action=accept in-interface=vlan1 SERVICE
out-interface=bridge Hotspot 5.1 log=no log-prefix=""

94 ;;; Vlan1 "chain=forward in-interface=vlan1 out-interface=vlan60" SERVICE>
arf auf Server + Drucker zugreifen
chain=forward action=accept in-interface=vlan1 SERVICE
out-interface=bridge Server-Drucker 6.1 log=no log-prefix=""

95 XI ;;; Vlan1 "chain=forward in-interface=vlan1 out-interface=vlan70" SERVI>
arf auf STADTHALLE zugreifen
chain=forward action=accept in-interface=vlan1 SERVICE
out-interface=bridgeStadthalle 7.1 log=no log-prefix=""

96 XI ;;; Vlan1 "chain=forward in-interface=vlan1 out-interface=vlan90" SERVI>
arf auf HOTSPOT HOME zugreifen
chain=forward action=accept in-interface=vlan1 SERVICE
out-interface=bridge Hotspot Home 9.1 log=no log-prefix=""

97 ;;; Vlan20 "chain=forward in-interface=Zelli Lan 2.1 out-interface=vlan60>
elli darf auf Server + Drucker zugreifen
chain=forward action=accept in-interface=bridge Zelli 2.1
out-interface=bridge Server-Drucker 6.1 log=no log-prefix=""

98 XI ;;; Vlan20 "chain=forward in-interface=Zelli Lan 2.1 out-interface=VLan >
chain=forward action=accept in-interface=bridge Zelli 2.1
out-interface=bridgeStadthalle 7.1 log=no log-prefix=""

99 ;;; Vlan30 "chain=forward in-interface=vlan30 out-interface=vlan60"
chain=forward action=accept in-interface=bridge Gastro 3.1
out-interface=bridge Server-Drucker 6.1 log=no log-prefix=""

100 ;;; Vlan40 "chain=forward in-interface=vlan40 out-interface=vlan60"
chain=forward action=accept in-interface=bridge Nachbar 4.1
out-interface=bridge Server-Drucker 6.1 log=no log-prefix=""

101 XI ;;; Vlan40 "chain=forward in-interface=vlan50 out-interface=vlan60" NUR>
CHALTEN WENN HOTSPOT AUF SERVER + DRUCKER SOLL
chain=forward action=accept in-interface=bridge Hotspot 5.1
out-interface=bridge Server-Drucker 6.1 log=no log-prefix=""

102 XI ;;; Vlan-70 Stadthalle "chain=forward in-interface=vlan70 out-interface>
60
chain=forward action=accept in-interface=bridgeStadthalle 7.1
out-interface=bridge Server-Drucker 6.1 log=no log-prefix=""

103 ;;; Vlan-90 Hotspot Home "chain=forward in-interface=vlan90 out-interfac>
an 60
chain=forward action=accept in-interface=bridge Hotspot Home 9.1
out-interface=bridge Server-Drucker 6.1 log=no log-prefix=""

104 ;;; VLAN-20 "action=drop chain=forward in-interface=Vlan20 out-interface=>
er1"
chain=forward action=drop layer7-protocol=Gesperte update
in-interface=bridge Zelli 2.1 out-interface=!P1-WAN-UPC log=no
log-prefix=""

105 ;;; VLAN-30 "action=drop chain=forward in-interface=Vlan30 out-interface=>
er1"
chain=forward action=drop layer7-protocol=Gesperte update
in-interface=bridge Gastro 3.1 out-interface=!P1-WAN-UPC log=no
log-prefix=""

106 ;;; VLAN-40 "action=drop chain=forward in-interface=Vlan 40 out-interface>
her1"
chain=forward action=drop layer7-protocol=Gesperte update
in-interface=bridge Nachbar 4.1 out-interface=!P1-WAN-UPC
src-mac-address=!F8:46:1C:45:B2:D3 log=no log-prefix=""

107 ;;; VLAN-50 "action=drop chain=forward in-interface=Vlan50 out-interface=>
er1"NICHT EINSCHALTEN SONST GEHT UNIFI CONTOLLER NICHT
chain=forward action=drop layer7-protocol=Gesperte update
in-interface=bridge Hotspot 5.1 out-interface=!P1-WAN-UPC log=no
log-prefix=""

108 ;;; VLAN-60 "action=drop chain=forward in-interface=Vlan 60 out-interface>
her1"
chain=forward action=drop layer7-protocol=Gesperte update
in-interface=bridge Server-Drucker 6.1 out-interface=!P1-WAN-UPC log=no
log-prefix=""

109 ;;; VLAN-70 "action=drop chain=forward in-interface=Vlan 70 out-interface>
her1"
chain=forward action=drop layer7-protocol=Gesperte update
in-interface=bridgeStadthalle 7.1 out-interface=!P1-WAN-UPC log=no
log-prefix=""

110 ;;; VLAN-90 "action=drop chain=forward in-interface=Vlan 90 out-interface>
her1"
chain=forward action=drop layer7-protocol=Gesperte update
in-interface=bridge Hotspot Home 9.1 out-interface=!P1-WAN-UPC log=no
log-prefix=""

111 XI ;;; VLAN-all "action=drop chain=forward in-interface=all-vlan out-interf>
ether1"
chain=forward action=drop in-interface=all-vlan out-interface=!P1-WAN-UPC
log=no log-prefix=""

112 ;;; Vlan20 Zelli-Home Netz: 192.168.2.1
chain=forward action=accept dst-address=!192.168.2.0/24
in-interface=bridge Zelli 2.1 log=no log-prefix=""

113 XI ;;; Vlan20 Zelli-Home Netz: 192.168.2.1
chain=forward action=log dst-address=!192.168.2.0/24
in-interface=vlan20 Zelli Home log=no log-prefix=""

114 ;;; Vlan20 Zelli-Home Netz: 192.168.2.1
chain=forward action=drop dst-address=!192.168.2.0/24
in-interface=bridge Zelli 2.1 log=no log-prefix=""

115 ;;; Vlan30 NUR zum Surfen und EMAIL Netz: 192.168.3.1
chain=forward action=accept dst-address=!192.168.3.0/24
in-interface=bridge Gastro 3.1 log=no log-prefix=""

116 XI ;;; Vlan30 NUR zum Surfen und EMAIL Netz: 192.168.3.1
chain=forward action=log dst-address=!192.168.3.0/24
in-interface=bridge Gastro 3.1 log=no log-prefix=""

117 ;;; Vlan30 NUR zum Surfen und EMAIL Netz: 192.168.3.1
chain=forward action=drop dst-address=!192.168.3.0/24
in-interface=bridge Gastro 3.1 log=no log-prefix=""

118 ;;; Vlan40 NUR zum Surfen und EMAIL Netz: 192.168.4.1
chain=forward action=accept dst-address=!192.168.4.0/24
in-interface=bridge Nachbar 4.1 log=no log-prefix=""

119 XI ;;; Vlan40 NUR zum Surfen und EMAIL Netz: 192.168.4.1
chain=forward action=log dst-address=!192.168.4.0/24
in-interface=bridge Nachbar 4.1 log=no log-prefix=""

120 ;;; Vlan40 NUR zum Surfen und EMAIL Netz: 192.168.4.1 Gesperrt Update oh>
laystatio Mac F8:46:1C:45:B2:D3
chain=forward action=drop dst-address=!192.168.4.0/24
in-interface=bridge Nachbar 4.1 log=no log-prefix=""

121 ;;; VLAN 50 Hotspot NUR zum Surfen + EMAIL +Skype
chain=forward action=accept protocol=tcp dst-address=!192.168.5.0/24
hotspot="" in-interface=bridge Hotspot 5.1
dst-port=25,80,110,443,465,995,5222,5938
time=0s-1d,sun,mon,tue,wed,thu,fri,sat log=no log-prefix=""

122 XI ;;; VLAN 50 Hotspot NUR zum Surfen + EMAIL +Skype
chain=forward action=log dst-address=!192.168.5.0/24
in-interface=bridge Hotspot 5.1 log=no log-prefix=""

123 ;;; VLAN 50 Hotspot NUR zum Surfen + EMAIL +Skype
chain=forward action=drop dst-address=!192.168.5.0/24
in-interface=bridge Hotspot 5.1 log=no log-prefix=""

124 ;;; Vlan 60 Server-Drucker NUR zum drucken KEIN EMAIL oder Internet: 192>
.6.1
chain=forward action=accept protocol=tcp dst-address=!192.168.6.0/24
in-interface=bridge Server-Drucker 6.1 log=no log-prefix=""

125 XI ;;; Vlan 60 Server-Drucker NUR zum drucken KEIN EMAIL oder Internet: 19>
.6.1
chain=forward action=log dst-address=!192.168.6.0/24
in-interface=bridge Server-Drucker 6.1 log=no log-prefix=""

126 ;;; Vlan 60 Server-Drucker NUR zum drucken KEIN EMAIL oder Internet: 192>
.6.1
chain=forward action=drop dst-address=!192.168.6.0/24
in-interface=bridge Server-Drucker 6.1 log=no log-prefix=""

127 ;;; Vlan70 Stadthalle NUR zum Surfen und EMAIL Netz: 192.168.7.1
chain=forward action=accept protocol=tcp dst-address=!192.168.7.0/24
in-interface=bridgeStadthalle 7.1 log=no log-prefix=""

128 XI ;;; Vlan70 Stadthalle NUR zum Surfen und EMAIL Netz: 192.168.7.1
chain=forward action=log protocol=tcp dst-address=!192.168.7.0/24
in-interface=bridgeStadthalle 7.1 log=no log-prefix=""

129 ;;; Vlan70 Stadthalle NUR zum Surfen und EMAIL Netz: 192.168.7.1
chain=forward action=drop dst-address=!192.168.7.0/24
in-interface=bridgeStadthalle 7.1 log=no log-prefix=""

130 ;;; Vlan90 Hotspot Home NUR zum Surfen und EMAIL Netz: 192.168.9.1
chain=forward action=accept protocol=tcp dst-address=!192.168.9.0/24
in-interface=bridge Hotspot Home 9.1 log=no log-prefix=""

131 XI ;;; Vlan90 Hotspot Home NUR zum Surfen und EMAIL Netz: 192.168.9.1
chain=forward action=log protocol=tcp dst-address=!192.168.9.0/24
in-interface=bridge Hotspot Home 9.1 log=no log-prefix=""

132 ;;; Vlan90 Hotspot Home NUR zum Surfen und EMAIL Netz: 192.168.9.1
chain=forward action=drop dst-address=!192.168.9.0/24
in-interface=bridge Hotspot Home 9.1 log=no log-prefix=""

/ip firewall filter>

Bitte um eure Hilfe.

Mit freundlichen Grüßen Lightman
Spirit-of-Eli
Spirit-of-Eli 19.02.2018 um 19:47:06 Uhr
Goto Top
Hast du die größten Teils selbst erstellt?

Vorrausgesetzt "!" ist eine Negation ->
Hier mal ein Sinnloses Beispiel wenn die Syntax hier korrekt ist:

6 ;;; PPTP VPN erlauben
chain=input action=accept protocol=tcp dst-port=!1723 log=no
log-prefix=""

Hier definierst du das TCP-Traffic über jeglichen Port rein darf außer eben 1723.
Daher stellt sich mir die Frage ob du die Regeln alle selbst definiert hast?
lightman
lightman 19.02.2018 um 19:55:38 Uhr
Goto Top
ja habe ich irgendwann selber gemacht, habe ich mir alles so gute es gegangen ist selber bei gebracht fast ohne Hilfe, hat leider einige Fehler.
Spirit-of-Eli
Lösung Spirit-of-Eli 19.02.2018 um 19:57:38 Uhr
Goto Top
Wie gesagt, ein Ausrufezeichen, Bsp. von nem Port, ist eine Negation und bedeutet schlicht "alles außer das hier"
lightman
lightman 19.02.2018 um 20:01:04 Uhr
Goto Top
ja habe verstanden