Архив метки: ACL

Фильтрация IPTV трафика

На микротике невозможно сказать лить мультикаст только в один порт, а не в весь бридж. Соответственно когда смотришь ТВ, весь WiFi эфир занят этим паразитным трафиком. Для избавления от него необходимо добавить на бридж правило фильтрации.

  1. Создаём список интерфейсов, где нам нужен этот трафик

/interface list
add name=IPTV-list-ports
/interface list member
add interface=ether4-Kuhnya list=IPTV-list-ports
add interface=ether3-Zal list=IPTV-list-ports

2. Блокируем весь мультикаст, кроме того, который идёт на группу IPTV портов

/interface bridge filter
add action=drop chain=output mac-protocol=ip out-interface-list=!IPTV-list-ports packet-type=multicast

Идея взята отсюда: https://forummikrotik.ru/viewtopic.php?t=6946#p37855

Cisco NAT и правило permit ip any any

Получил новый ISR 4331 и попытался быстро перекинуть конфиг со старой Cisco. При этом у меня не заработали все внешние туннели, не пинговался хост снаружи и не было возможности подключиться по снаружи по ssh. Решение было найдено тут.

На маршрутизаторах cisco при задании слова ip nat outside трансляции начинают отрабатывать не только для адресов, находящихся за интерфейсами, помеченными как ip nat inside, но и для трафика самого маршрутизатора, даже инициированного от имени внешнего интерфейса.

Таким образом, если мы устанавливаем сессию на адрес маршрутизатора на порт 22, то отвечать он будет с порта 22, но если вдруг подпадет под правило динамического НАТ, то произойдет подмена порта с 22 на некий, из нижнего диапазона (1-1023) и мы не увидим (проигнорируем) ответ

И действительно в конце весьма длинного ACL для NAT было правило permit ip any any.

При создании NAT всегда нужно, что бы в ACL отсутствовало правило permit ip any any. Как вычитал в какой то доке (к сожалению потерял ссылку), начиная с какого то IOS какой то серии (вспомнить бы:)), данное правило будет игнорироваться. Но сейчас его нужно избегать самостоятельно. Естественно правило типа permit ip 10.0.0.0 0.255.255.255 any вполне работает.