ЕСТЬ ТУТ ШАРЯЩИЕ ЧУВАКИ В ТИКАХ? Приобрел сие садомазо, интересная штука, но не понятно как можно на определенон порту ФИЛЬТРОВАТЬ\ЗАДЕНАИТЬ всё кроме PPPOE (forward).
По просту говоря, пришёл соседу инет раздал, а что-бы этот ШМЕЛЬ доступ в мою же сетку не имел.(нет написать 2 правила ограничивающие доступ в мою сеть не варик, нужно именно филтровать всё кроме PPPOE)
>>1845456 (OP)Тебе надо pppoe-сессию соседа форвардить на провайдера? Сделай бридж на WAN-интерфейс и не еби себе мозг.
>>1845501Это конечно классно, но задача немного другая.
Если быть более подробным, то Есть гейт(пусть будем пппое серваг) > соеденен бриджем на микротик(сам микротик никаких PPPOE настроек неимеет, он просто исполняет роль "принеси подай", нужно на определенном порту заблочить ВСЁ кроме PPPOE forward, бридж на ван не канает.
PPPoE работает на втором уровне OSI, блочь ICMP все остальное что выше(ip)как это делается на микротике - в душе не ебуна фришечке можно так:deny ip from any to any via interface_nameостанется куча других протоколов, но не думаю что мамкину хацкеру они смогут помешать.
>>1845521>блочь ICMP все остальное что выше(ip)следует читать как "блочь IP"тут нлавное только себе в ногу не выстрелить и оставить в покое интерфейс через который ты конфигуришь микротик. Обычно на этих поделках для этого локальный интерфейс.
>>1845517Какая тогда задача? Это единственный вариант, когда pppoe-сессия вообще нужна. Всё остальное разруливается маршрутизацией. Куда pppoe-клиент соседа соединяется?
>>1845519>соеденен бриджем на микротик(сам микротик никаких PPPOE настроек неимеет>нужно на определенном порту заблочить ВСЁ кроме PPPOE forward>бридж на ван не канаетПодвесь этот порт на тот бридж, которым микротик соединён с концентраторм и не еби мозг. Или ты просто лёгких путей не ищешь?Also нет такой вещи в IP-маршрутизации, как PPPOE forward. Как тебе уже сказали выше, этот L2-протокол.
>>1845563Я может быть не правильно выразился\объяснил.Есть скажем "провайдер" (хер с тиком (я) и тройкой соседей которые в складчину башляют за инторнет вместе с тобой,а ты просто разруливаешь на шейпере)Допустим сосед N соеденен Роутером TPLINK через WAN к твоему МИКРОТИКУ, микротик не имеет настроек PPPOE, они лежат напрямую на ТПЛИНКЕ СОСЕДА. Мне нужно: Блочить любой трафик, кроме PPPOE на этот конкретный форвард. Сосед с инетом - но без доступа в сеть ко мне\другие подсети соседей.
>>1845568да, спасибо за пояснение, учусь только. И да, видать не ищу. но ведь в этом то и интерес.
>>1845568А на фаерволе дропай все инпуты и форварды с этого бриджа.
>>1845569Ещё раз. Если у твоих трёх соседей у каждого свои реквизиты подключения к провайдеру по pppoe, ты выводишь их выводишь на провайдера только через бридж. Нет такой вещи, как форвардинг pppoe.Если они все ходят по одному (твоему) логину/паролю. То либо предыдущий вариант, и за раз интернет будет только у кого-то одного из трёх, либо pppoe-сессию поднимаешь на микротике, он становится вашим локальным гейтом, и на нём же настраиваешь изоляцию посредством уже IP-фаервола. Pppoe-сессии твоим соседям тут накуй не нужны. Разве что, ты на своем тике подниешь локальны pppoe-концентратор. Только зачем?
>>1845569>>1845576ок! Вопрос тогда. (опять же акцентирую внимание на то что только осваиваю, поэтому кирпичами не кидайсо) Можно ли на 1 порт повесить 2 бриджа:?Допустим 1) Бридж как я описал выше, тупо для раздчи PPPOE2) Аля бридж-фаервола на том же порту, для ограничения.
>>1845587>Можно ли на 1 порт повесить 2 бриджаНет, но можно на 1 бридж повесить столько, портов, сколько требуется.>1) Бридж>2) Аля бридж-фаервола>для ограниченияЧто именно и как (на сколько честно) ты хочешь ограничивать? Если трафик pppoe-сессий, то при твоём сетапе настроить на MT совсем полноценный шейпер скорее всего затруднительно. Можно попробовать сделать так: на бридже включить фильтр, в нём накидать правил на chain forward при исходящем порту ether1 для пометки пакетов тэгом, в зависимости от входящего порта, а дальше настроить по этим тэгам иерарохию исходящих очередей. Но вот будут ли очереди правильно работать при таком раскладе, я не проверял. Скорее всего -- нет, и придётся ограничится установкой жёсткого ограничения на скорость по самим ethernet-портам. Пропускная_способность_канала/количество_соседей.Просто твою задачу дожен решать скорее управляемый свитч, а не маршрутизатор. Модель Микротика хоть какая? Более менее умные свитч-чипы в серии CRS. У остальных же обычно могуть чуть менее, чем ничего.
Оп наркоман.
>>1845569Микротика нет под рукой, но как-то так/interface bridge filteradd action=accept chain=forward comment="" disabled=no mac-protocol=pppoeadd action=accept chain=forward comment="" disabled=no mac-protocol=pppoe-discoveryadd action=drop chain=forward comment="" disabled=no
>>1845456 (OP)ОП, вот тобе трава, скури всю хорошенько. А уж потом, как отпустит, приходи задавать вопросы о просветлении.http://wiki.mikrotik.com/wiki/Manual:Packet_Flowhttp://www.mikrotik-routeros.com/2013/05/study-guide-moving-up-to-routeros-v6/#more-787https://habrahabr.ru/post/188718/
>>1845676В общем и целом -- так. Только надо обязательно порты указать, а то роутер брикнется, если к нему доступ через тот же бридж идёт. Но ОП же ещё и шейпер хочет.
>>1845667>будут ли очереди правильно работать при таком раскладеСудя по >>1845677 пикрелейтеду должны работать.
Кароч, с шейпером на канале в 10Mbit что-то типа такого должно получиться./interface bridge filteradd action=mark-packet chain=forward in-interface=ether2-local out-interface=ether1-gateway new-packet-mark=lan disabled=no comment="op_junkie"add action=mark-packet chain=forward in-interface=ether3-soseda out-interface=ether1-gateway new-packet-mark=good disabled=no comment="neighbr_bro"add action=mark-packet chain=forward in-interface=ether4-sosedb out-interface=ether1-gateway new-packet-mark=bad disabled=no comment="neighbr_dick"add action=mark-packet chain=forward in-interface=ether5-sosedc out-interface=ether1-gateway new-packet-mark=ugly disabled=no comment="neighbr_freak"add action=accept chain=forward out-interface=ether1-gateway disabled=no mac-protocol=pppoe comment="" add action=accept chain=forward out-interface=ether1-gateway disabled=no mac-protocol=pppoe-discovery comment="" add action=drop chain=forward out-interface=ether1-gateway disabled=no comment="" /queue treeadd max-limit=9500k name=common-out parent=ether1-gateway priority=1 queue=defaultadd limit-at=3M max-limit=9M name=op-jinkie parent=common-out queue=default-large priority=1 packet-mark=lanadd limit-at=3M max-limit=9M name=neighbr-bro parent=common-out queue=default-large priority=2 packet-mark=goodadd limit-at=2500k max-limit=9M name=neighbr-dick parent=common-out queue=default-large priority=8 packet-mark=badadd limit-at=1M max-limit=9M name=neighbr-freak parent=common-out queue=default-large priority=4 packet-mark=ugly
>>1845456 (OP)Разреши TCP и GRE на этом порту, хуйли как малентький?
>>1845700>TCP и GRE>PPPoEА вот и прохфесоналлы подтянулись.Я вот одно не пойму чего хочет добиться ОП, если достаточно осуществлять ПППоЕ подключение через любой копеечный роутер и раздавать им инторнеты?
