Архив метки: firewall

Фильтрация IPTV трафика

На микротике невозможно сказать лить мультикаст только в один порт, а не в весь бридж. Соответственно когда смотришь ТВ, весь WiFi эфир занят этим паразитным трафиком. Для избавления от него необходимо добавить на бридж правило фильтрации.

  1. Создаём список интерфейсов, где нам нужен этот трафик

/interface list
add name=IPTV-list-ports
/interface list member
add interface=ether4-Kuhnya list=IPTV-list-ports
add interface=ether3-Zal list=IPTV-list-ports

2. Блокируем весь мультикаст, кроме того, который идёт на группу IPTV портов

/interface bridge filter
add action=drop chain=output mac-protocol=ip out-interface-list=!IPTV-list-ports packet-type=multicast

Идея взята отсюда: https://forummikrotik.ru/viewtopic.php?t=6946#p37855

CAPsMAN и FireWall

Есть много инструкций по настройке CAPsMAN, но везде считается, что FW или выключен, или настроен весьма открыто.

Сегодня настраивал и обнаружил, что контроллер, который одновременно является точкой, периодически теряется и не может восстановиться. Адрес управляющего устройства был записан двумя вариантами (по очереди): 127.0.0.1 и 192.168.1.1.

Проблема решилась после добавления правила

add action=accept chain=input comment=»Allow CAPsMAN» dst-port=5246,5247 protocol=udp src-address=127.0.0.1

Применение правил в pfSense

При изменении правил в Fierwall — Rules и Fierwall — NAT правило применяется только к новым сессиям. Текущие (и запреты и разрешения будут действовать до разрыва сессии).

Для того, что бы оборвать сессию необходимо зайти Diagnostics — Show States и удалить существующие сессии.