Estou configurando um MikroTik cAP, para ser configurado como um ponto de acesso multitenant. A interface LAN é uma interface de tronco VLAN. Para cada locatário, bem como para a LAN de gerenciamento, estou configurando uma ponte dedicada. As portas na ponte são uma VLAN em ether1 e uma interface sem fio virtual para cada banda de frequência. Apenas a ponte para a LAN de gerenciamento tem um endereço IP configurado, as outras não, então o cAP não pode ser acessado via IP das redes de locatários. (O servidor MAC também está desligado.)
Após configurar a rede de gerenciamento e um locatário, vejo tráfego de transmissão daquele locatário na lista de conexões IP ( /ip firewall connection print, ou o equivalente no WebFig). Isso me parece como se o sistema estivesse passando-os para sua própria pilha de protocolo IP – o que eu quero evitar, para minimizar a superfície de ataque.
Como configuro uma ponte para apenas passar tráfego, sem nunca passá-lo para a pilha IP local?
Minha sugestão inicial seria remover essas pontes dedicadas e interfaces VLAN inteiramente e substituí-las por uma única
vlan-filtering=yesponte. A VLAN de gerenciamento é definida por meio dopvid=parâmetro da ponte, enquanto as interfaces sem fio têm osvlan-mode=use-tagvlan-id=XXXparâmetros, e a porta Ethernet física deve ter todas essas VLANs definidas por meio de/interface/bridge/vlan.Acredito que essa seja a configuração recomendada em geral, mas no seu caso isso também faz com que a pilha de rede do roteador veja apenas uma VLAN por vez – apenas os quadros que correspondem aos da bridge
pvidchegarão pela "self port".Alternativamente:
/ip/firewalldescarte todos os pacotes de entrada dein-interface=!my-mgmt-bridge. Repita para/ipv6/firewall.(Não sei por que você está vendo essas entradas conntrack no IPv4, já que as interfaces não têm endereços IPv4... mas como cada interface tem um endereço de link local no IPv6, a filtragem de firewall é necessária de qualquer maneira, então é melhor fazer isso também no IPv4. Deve ser o suficiente para descartar em
filterchain=input, mas se você quiser ter mais certeza, também pode fazer isso emrawchain=prerouting.)Relacionado: Certifique-se de desabilitar o MAC-Telnet e o MAC-Winbox nessas interfaces via
/tool/mac-server– ambos como um risco por si só e possivelmente como o motivo pelo qual o RouterOS ainda processa transmissões de IP nessas interfaces.Talvez alternativamente:
/ip/vrfcoloque todas essas interfaces em um VRF separado para isolamento L3. A maioria dos serviços RouterOS são configurados para estarem disponíveis apenas no VRF 'principal' por padrão.