Здесь в форуме я нашел примеры блокирования не pppoe-трафика, приходящего от клиента. А как сделать обратный фильтр: чтобы и к клиенту из сети не шло ничего широковещательного, а только pppoe? В доке нашел "ruledir out" - оно?

И еще в changelog для 2.12 упоминается о неких "Packet filter enhancements" плюс где-то в доках мне попадался новый способ создания фильтров, без create rule/subrule и это было не ACL. Есть такое дело?

Как я понял, Вам нужно реализовать следующее:
От ADSL клиента во внешнюю сеть должны свободно проходить PADI пакеты (инициализация PPPoE сессии), а из сети к клиенту весь широковещательный трафик должен быть запрещен, так?

По поводу "Packet filter enhancements": почитайте следующую главу русскоязычного мануала: 9.1.7. Расширенные принципы фильтрации. Generic List и Named List.

_________________
С уважением, Давыдов Денис.

Почти совершенно верно: требуется чтобы в обе стороны проходили только ethertype 0x8863 и 0x8864, но в сторону клиента еще и блокировать широковещательный трафик. Чтобы он не смог, даже если очень вдруг захочет, выступить в роли pppoe-сервера доступа

Я понял вас. Сегодня я напишу для Вас пример.

_________________
С уважением, Давыдов Денис.

Итак, пример:

Создаем фильтрующее правило с действием Drop, в котором указываем что нас интересует весь Broadcast трафик:
$ create filter rule entry ruleid 2 action drop ruleprio high pkttype Bcast ruledir out

После этого создаем привязку данного правила ко всем EOA интерфейсам:
$ create filter rule map ruleid 2 stageid 1 ifname alleoa

Включаем правило в работу:
$ modify filter rule entry ruleid 2 status enable


В результате весь Broadcast трафик в сторону абонентских портов будет запрещен, но сами абоненты смогут нормально инициализировать PPPoE сессии.

_________________
С уважением, Давыдов Денис.

Ваш пример не помешает клиенту поставить себе любой айпишник и просканировать сеть, например Денис, пожалуйста, прочитайте внимательнее мой второй пост.

Вам нужно также реализовать привязку IP и MAC адресов к порту DSLAM? Поставьте задачу четко, по пунктам.

_________________
С уважением, Давыдов Денис.

1. Требуется чтобы в обе стороны проходили только ethertype 0x8863 и 0x8864 - т.е. только pppoe
2. В сторону клиента блокировать широковещательный трафик

Таким образом мы полностью изолируем клиента для его работы с pppoe.

Итак:

Разрешаем все пакеты с Ethertype 0x8863 и 0x8864 от клиентов:
$ create filter rule entry ruleid 2 action allow ruleprio high ruledir in

$ create filter subrule ether ruleid 2 subruleid 1 ethertypefrom 0x8863 ethertypeto 0x8864 ethertypecmp inrange subruleprio asinrule

$ create filter rule map ruleid 2 stageid 1 ifname alleoa

$ modify filter rule entry ruleid 2 status enable


Запрещаем вес остальной трафик (по Ethertype) от клиентов:
$ create filter rule entry ruleid 3 action drop ruleprio high ruledir in

$ create filter subrule ether ruleid 3 subruleid 1 ethertypecmp any subruleprio asinrule

$ create filter rule map ruleid 3 stageid 1 ifname alleoa

$ modify filter rule entry ruleid 3 status enable


Запрещаем весь Broadcast трафик в сторону клиентов:
$ create filter rule entry ruleid 4 action drop ruledir out pkttype bcast status enable

$ create filter rule map ruleid 4 stageid 1 ifname alleoa


Таким образом все клиентские PPPoE сессии будут устанавливаться и работать нормально, при этом весь остальной трафик (в обход PPP) будет запрещен. Также будет запрещен весь Broadcast трафик в сторону клиентов, что сделает невозможным установление PPPoE сессий извне (PADI пакеты будут отбрасываться).

_________________
С уважением, Давыдов Денис.

То что нужно. Спасибо!

alleoa в данном случае, несомненно, упрощает настройку фильтров. А можно ли на конкретном порту сделать исключение - например, разрешить весь трафик?

Кажется я понял сам: делаем разрешающее правило с меньшим ruleid для конкретного порта.

Просто удалите привязки правил на конкретном интерфейсе:
$ delete filter rule map ruleid 2 stageid 1 ifname eoa-<номер интерфейса>
$ delete filter rule map ruleid 3 stageid 1 ifname eoa-<номер интерфейса>
$ delete filter rule map ruleid 4 stageid 1 ifname eoa-<номер интерфейса>

_________________
С уважением, Давыдов Денис.

не прокатывает:

и действительно откуда взяться этому правилу для eoa-0, если там одно правило для всех - alleoa:

Эти фильтры фильтруют не всё:
Когда мы "Запрещаем весь остальной трафик (по Ethertype) от клиентов" создаётся unicast-правило:
Pkt Type : Ucast
хотя мы не указываем pkt type. А это значит, что arp-трафик будет проходить. Хотя по идее должно создаваться универсальное правило для всех типов: bcast, ucast и multicast - странная фича.