Блокировка мультикаста с 224.0.0.0/4

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Ответить
sudoers
Сообщения: 5
Зарегистрирован: 19 янв 2022, 22:25

Здравствуйте сообщество.

RouterBOARD 952Ui-5ac2nD
7.1.1
Доп. пакеты - нет

Собственно сабж. Никак не могу побороть исходящие пакеты с конечного устройства на адреса 224.0.0.0/4. Основная задача закрыть 224.0.0.22(IGMPv3) и 224.0.0.251(mDNS)

Есть конечное устройство, на нем строго должен быть обмен только с очень узким кругом внешних ресурсов.
Есть микрот, который дает ему этот доступ через wifi (5GHz, если имеет значение). Порт wlan2 (5GHz) в бриже. В бридже галка Bridge Settings - Use IP firewall - ok.

mdns - лист адресов 224.0.0.0/4
 Firewall
/ip/firewall/filter> print
0 chain=forward action=drop dst-address-list=mdns log=no log-prefix=""

1 chain=forward action=drop protocol=udp dst-port=5353 log=no log-prefix=""

2 chain=forward action=drop src-address-list=mdns log=no log-prefix=""

3 chain=forward action=drop dst-address-list=mdns log=no log-prefix=""
 RAW
/ip/firewall/raw> print
0 chain=prerouting action=drop log=no log-prefix="" dst-address=224.0.0.22

1 chain=output action=drop log=no log-prefix="" dst-address=224.0.0.22

2 chain=prerouting action=drop log=no log-prefix="" dst-address-list=mdns

3 chain=output action=drop log=no log-prefix="" dst-address-list=mdns

4 chain=prerouting action=drop log=no log-prefix="" src-address-list=mdns

5 chain=output action=drop log=no log-prefix="" src-address-list=mdns

6 chain=prerouting action=drop log=no log-prefix="" protocol=igmp src-address=192.168.222.253

7 chain=output action=drop log=no log-prefix="" protocol=igmp src-address=192.168.222.253
 Bridge Filter
/interface/bridge/filter> print
0 chain=forward action=drop in-interface=wlan2 packet-type=multicast log=no log-prefix=""

1 chain=input action=drop in-interface=wlan2 packet-type=multicast log=no log-prefix=""

2 chain=output action=drop out-interface=wlan2 packet-type=multicast log=no log-prefix=""
 Bridge NAT
/interface/bridge/nat> print
0 chain=dstnat action=drop in-interface=wlan2 packet-type=multicast log=no log-prefix=""

1 chain=srcnat action=drop out-interface=wlan2 packet-type=multicast log=no log-prefix=""
Понимаю, что многие правила - мусор, просто перепробовал возможные варианты.
В торче все равно они лезут и wireshark их ловит. Подскажите ЧЯДНТ? Может быть какой костыль для этого придумать, без добавления промежуточного оборудования?
Причем микрот делает вид, что ловит их, счетчик в правиле тикает, когда пакет, предположим на 0.22 идет.


Ответить