Dúvida firewall bridge mikrotik

[Nightwolf]

Bom dia a todos!!


Galera, aqui estou de novo como mais uma dúvida. Estou com um pequeno problema em uma bridge relacionado ao firewall. Possuo uma RB433UAH em um segmento da minha rede que uso como bridge, configurei filtros para somente passar requisições PPPoE, os quais funcionam perfeitamente, porém me deparei com o seguinte problema, há clientes que não posso configurar nenhum tipo de túnel e tenho que configurar IP Fixo e é aí que surge minha dor de cabeça. O que bloqueia os IPs é uma regra que dropa requisições ARP no Forward, mesmo se eu colocar um filtro que libere antes desta regra, eu não consigo liberar o ip. Certas vezes, se eu desabilitar o filtro que bloqueia o arp, consigo navegar sem problmas (É claro), se eu ativar de novo, eu continuo navegando até eu reiniciar o pc ou o firewall. Seguem abaixo os filtros que criei com os respectivos Accepts e Drops.






/interface bridge filter
add action=accept chain=forward comment="LAPTOP PRETO OUT" disabled=no dst-address=0.0.0.0/0 mac-protocol=ip src-address=172.16.10.253/32
add action=accept chain=forward comment="LAPTOP PRETO IN" disabled=no dst-address=172.16.10.253/32 mac-protocol=ip src-address=0.0.0.0/0
add action=accept chain=forward comment="NETBOOK AZUL OUT" disabled=no dst-address=0.0.0.0/0 mac-protocol=ip src-address=172.16.10.252/32
add action=accept chain=forward comment="NETBOOK AZUL IN" disabled=no dst-address=172.16.10.252/32 mac-protocol=ip src-address=0.0.0.0/0
add action=accept chain=forward comment="CLIENTE 1847 OUT" disabled=no dst-address=0.0.0.0/0 mac-protocol=ip src-address=172.16.17.3/32
add action=accept chain=forward comment="CLIENTE 1847 IN" disabled=no dst-address=172.16.17.3/32 mac-protocol=ip src-address=0.0.0.0/0
add action=accept chain=forward comment="CLIENTE 1903 OUT" disabled=no dst-address=0.0.0.0/0 mac-protocol=ip src-address=172.16.30.32/32
add action=accept chain=forward comment="CLIENTE 1903 IN" disabled=no dst-address=172.16.30.32/32 mac-protocol=ip src-address=0.0.0.0/0
add action=accept chain=input comment="LIBERA INGRESSO PPPOE-SESSION" disabled=no mac-protocol=pppoe
add action=accept chain=input comment="LIBERA INGRESSO PPPOE-DISCOVERY" disabled=no mac-protocol=pppoe-discovery
add action=accept chain=forward comment="LIBERA FORWARD PPPOE-SESSION" disabled=no mac-protocol=pppoe packet-mark=""
add action=accept chain=forward comment="LIBERA FORWARD PPPOE-DISCOVERY" disabled=no mac-protocol=pppoe-discovery
add action=drop chain=input comment="BLOCK DHCP SERVERS" disabled=no dst-address=255.255.255.255/32 ip-protocol=udp mac-protocol=ip src-address=0.0.0.0/0 src-port=67-68
add action=drop chain=input comment="BLOQUEIA DESCOBERTA DE VIZINHAN\C7A" disabled=no dst-port=5678 ip-protocol=udp mac-protocol=ip
add action=drop chain=input comment="BLOQUEIA INGRESSO APPLETALK-DDP" disabled=no mac-protocol=0x809B
add action=drop chain=input comment="BLOQUEIA INGRESSO APPLETALK-AARP" disabled=no mac-protocol=0x80F3
add action=drop chain=input comment="BLOQUEIA INGRESSO VLAN" disabled=no mac-protocol=vlan
add action=drop chain=input comment="BLOQUEIA INGRESSO IPX" disabled=no mac-protocol=ipx
add action=drop chain=input comment="BLOQUEIA INGRESSO IPV6" disabled=no mac-protocol=ipv6
add action=drop chain=forward comment="BLOCK DHCP SERVERS" disabled=no dst-address=255.255.255.255/32 ip-protocol=udp mac-protocol=ip src-address=0.0.0.0/0 src-port=67-68
add action=drop chain=forward comment="BLOQUEIO DE BROADCAST" disabled=no mac-protocol=ip packet-type=broadcast
add action=drop chain=forward comment="BLOQUEIO NET BIOS UDP" disabled=no dst-port=135-139 ip-protocol=udp mac-protocol=ip
add action=drop chain=forward comment="BLOQUEIO NET BIOS UDP 445 TCP" disabled=no dst-port=445 ip-protocol=tcp mac-protocol=ip
add action=drop chain=forward comment="BLOQUEIO NET BIOS" disabled=no dst-port=135-139 ip-protocol=tcp mac-protocol=ip
add action=drop chain=forward comment="BLOQUEIO NET BIOS UDP 445 UDP" disabled=no dst-port=445 ip-protocol=udp mac-protocol=ip
add action=drop chain=forward comment="BLOQUEIO UBNT-DISCOVER" disabled=no dst-port=10001 ip-protocol=udp mac-protocol=ip
add action=drop chain=forward comment="BLOQUEIA FORWARD IP" disabled=no mac-protocol=ip
add action=drop chain=forward comment="BLOQUEIA FORWARD ARP" disabled=no mac-protocol=arp
add action=drop chain=forward comment="BLOQUEIA FORWARD RARP" disabled=no mac-protocol=rarp
add action=drop chain=forward comment="BLOQUEIA FORWARD APPLETALK-DDP" disabled=no mac-protocol=0x809B
add action=drop chain=forward comment="BLOQUEIA FORWARD APPLETALK-AARP" disabled=no mac-protocol=0x80F3
add action=drop chain=forward comment="BLOQUEIA FORWARD VLAN" disabled=no mac-protocol=vlan
add action=drop chain=forward comment="BLOQUEIA FORWARD IPX" disabled=no mac-protocol=ipx
add action=drop chain=forward comment="BLOQUEIA FORWARD IPV6" disabled=no mac-protocol=ipv6






OBS.: A REDE É TODA CABEADA.




Agradeço a resposta. Um bom dia a todos.

[AndrioPJ]

Tenta colocar mais 2 regra com o chain input e output.
Para não ficar poluindo muito o firewall (com muitas regras), crie um address-list.
Dessa forma, você pode criar apenas 3 regras (uma em cada chain) para liberar os IPs que estiverem cadastrados.

Faça o teste ai e me retorne.

[Nightwolf]

Obrigado. Vou tentar aqui agora. Assim que funcionar aqui dou um retorno. Vlws

[Alex20cf]

Bom dia a todos!!


Galera, aqui estou de novo como mais uma dúvida. Estou com um pequeno problema em uma bridge relacionado ao firewall. Possuo uma RB433UAH em um segmento da minha rede que uso como bridge, configurei filtros para somente passar requisições PPPoE, os quais funcionam perfeitamente, porém me deparei com o seguinte problema, há clientes que não posso configurar nenhum tipo de túnel e tenho que configurar IP Fixo e é aí que surge minha dor de cabeça. O que bloqueia os IPs é uma regra que dropa requisições ARP no Forward, mesmo se eu colocar um filtro que libere antes desta regra, eu não consigo liberar o ip. Certas vezes, se eu desabilitar o filtro que bloqueia o arp, consigo navegar sem problmas (É claro), se eu ativar de novo, eu continuo navegando até eu reiniciar o pc ou o firewall. Seguem abaixo os filtros que criei com os respectivos Accepts e Drops.






/interface bridge filter
add action=accept chain=forward comment="LAPTOP PRETO OUT" disabled=no dst-address=0.0.0.0/0 mac-protocol=ip src-address=172.16.10.253/32
add action=accept chain=forward comment="LAPTOP PRETO IN" disabled=no dst-address=172.16.10.253/32 mac-protocol=ip src-address=0.0.0.0/0
add action=accept chain=forward comment="NETBOOK AZUL OUT" disabled=no dst-address=0.0.0.0/0 mac-protocol=ip src-address=172.16.10.252/32
add action=accept chain=forward comment="NETBOOK AZUL IN" disabled=no dst-address=172.16.10.252/32 mac-protocol=ip src-address=0.0.0.0/0
add action=accept chain=forward comment="CLIENTE 1847 OUT" disabled=no dst-address=0.0.0.0/0 mac-protocol=ip src-address=172.16.17.3/32
add action=accept chain=forward comment="CLIENTE 1847 IN" disabled=no dst-address=172.16.17.3/32 mac-protocol=ip src-address=0.0.0.0/0
add action=accept chain=forward comment="CLIENTE 1903 OUT" disabled=no dst-address=0.0.0.0/0 mac-protocol=ip src-address=172.16.30.32/32
add action=accept chain=forward comment="CLIENTE 1903 IN" disabled=no dst-address=172.16.30.32/32 mac-protocol=ip src-address=0.0.0.0/0
add action=accept chain=input comment="LIBERA INGRESSO PPPOE-SESSION" disabled=no mac-protocol=pppoe
add action=accept chain=input comment="LIBERA INGRESSO PPPOE-DISCOVERY" disabled=no mac-protocol=pppoe-discovery
add action=accept chain=forward comment="LIBERA FORWARD PPPOE-SESSION" disabled=no mac-protocol=pppoe packet-mark=""
add action=accept chain=forward comment="LIBERA FORWARD PPPOE-DISCOVERY" disabled=no mac-protocol=pppoe-discovery
add action=drop chain=input comment="BLOCK DHCP SERVERS" disabled=no dst-address=255.255.255.255/32 ip-protocol=udp mac-protocol=ip src-address=0.0.0.0/0 src-port=67-68
add action=drop chain=input comment="BLOQUEIA DESCOBERTA DE VIZINHAN\C7A" disabled=no dst-port=5678 ip-protocol=udp mac-protocol=ip
add action=drop chain=input comment="BLOQUEIA INGRESSO APPLETALK-DDP" disabled=no mac-protocol=0x809B
add action=drop chain=input comment="BLOQUEIA INGRESSO APPLETALK-AARP" disabled=no mac-protocol=0x80F3
add action=drop chain=input comment="BLOQUEIA INGRESSO VLAN" disabled=no mac-protocol=vlan
add action=drop chain=input comment="BLOQUEIA INGRESSO IPX" disabled=no mac-protocol=ipx
add action=drop chain=input comment="BLOQUEIA INGRESSO IPV6" disabled=no mac-protocol=ipv6
add action=drop chain=forward comment="BLOCK DHCP SERVERS" disabled=no dst-address=255.255.255.255/32 ip-protocol=udp mac-protocol=ip src-address=0.0.0.0/0 src-port=67-68
add action=drop chain=forward comment="BLOQUEIO DE BROADCAST" disabled=no mac-protocol=ip packet-type=broadcast
add action=drop chain=forward comment="BLOQUEIO NET BIOS UDP" disabled=no dst-port=135-139 ip-protocol=udp mac-protocol=ip
add action=drop chain=forward comment="BLOQUEIO NET BIOS UDP 445 TCP" disabled=no dst-port=445 ip-protocol=tcp mac-protocol=ip
add action=drop chain=forward comment="BLOQUEIO NET BIOS" disabled=no dst-port=135-139 ip-protocol=tcp mac-protocol=ip
add action=drop chain=forward comment="BLOQUEIO NET BIOS UDP 445 UDP" disabled=no dst-port=445 ip-protocol=udp mac-protocol=ip
add action=drop chain=forward comment="BLOQUEIO UBNT-DISCOVER" disabled=no dst-port=10001 ip-protocol=udp mac-protocol=ip
add action=drop chain=forward comment="BLOQUEIA FORWARD IP" disabled=no mac-protocol=ip
add action=drop chain=forward comment="BLOQUEIA FORWARD ARP" disabled=no mac-protocol=arp
add action=drop chain=forward comment="BLOQUEIA FORWARD RARP" disabled=no mac-protocol=rarp
add action=drop chain=forward comment="BLOQUEIA FORWARD APPLETALK-DDP" disabled=no mac-protocol=0x809B
add action=drop chain=forward comment="BLOQUEIA FORWARD APPLETALK-AARP" disabled=no mac-protocol=0x80F3
add action=drop chain=forward comment="BLOQUEIA FORWARD VLAN" disabled=no mac-protocol=vlan
add action=drop chain=forward comment="BLOQUEIA FORWARD IPX" disabled=no mac-protocol=ipx
add action=drop chain=forward comment="BLOQUEIA FORWARD IPV6" disabled=no mac-protocol=ipv6






OBS.: A REDE É TODA CABEADA.




Agradeço a resposta. Um bom dia a todos.

ao invés dessa regra toda, se eu usar apenas:

/interface bridge filter
add action=accept chain=forward comment="LIBERA FORWARD PPPOE-SESSION" disabled=no mac-protocol=pppoe


add action=accept chain=forward comment="LIBERA FORWARD PPPOE-DISCOVERY" disabled=no mac-protocol=pppoe-discovery


add action=drop chain=forward comment="BLOQUEIO"

com essa ultima regra eu ja to bloqueado tudo isso ?

[Alex20cf]

e em interface bridge settings eu marco o que ?
aqui tenho
[admin@Alex] > /interface bridge settings print
use-ip-firewall: yes
use-ip-firewall-for-vlan: no
use-ip-firewall-for-pppoe: no
allow-fast-path: yes
bridge-fast-path-active: no
bridge-fast-path-packets: 0
bridge-fast-path-bytes: 0

lembrando que minha rede é toda em pppoe