stealallsock Posted July 28, 2015 Здравствуйте! Есть mikrotik На нем порядка 500 vlan's в каждом vlan'е своя подсеть вида 10.1.1.0/24 Адрес каждого интерфейса влана соответственно 10.1.1.1 и т.д Юзверги сидят через pptp из этих вланов,при этом и с интерфейсов пптп они свободно гуляют на любые локальные адреса вланов. Как запретить хождение юзвергов между вланами? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Барагоз Posted July 29, 2015 ip route rule add src-address=10.0.0.0/8 dst-address=10.0.0.0/8 action=unreachable (для примера) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
stealallsock Posted July 29, 2015 ip route rule add src-address=10.0.0.0/8 dst-address=10.0.0.0/8 action=unreachable (для примера) Тогда юзеры с адресами 10.1.1.0/24 не смогут попадать на свои шлюзы,если я правильно понимаю. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
GrandPr1de Posted July 29, 2015 chain=forward Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
stealallsock Posted July 29, 2015 GrandPr1de Какой красочный и развернутый ответ. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
kaist Posted July 29, 2015 1) создайте адрес-лист, внесите в него все сетки, для которых хотите запретить связность 2) создайте правило фаервола для цепочки forward, где укажите ранее созданный адрес-лист в качестве src addres-list и dst addres-list, действие reject Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
GrandPr1de Posted July 29, 2015 мой ответ был дополнением к тому правилу фаервола, если бы chain=input то да, они бы не достучались до шлюза а при форвардинге все ок Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
NikAlexAn Posted July 29, 2015 Чёта я не понял: предлагалось решить задачу с помощью route rules. А тогда, насколько я понимаю, запрещается только роутинг и непонятно тогда при чём тут недоступность шлюза и chain-ы в ip fw? Или как? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
stealallsock Posted July 29, 2015 2 проблемы Клиент подключается через pptp Если он поднимает pptp - то в другой влан он свободно шурует через пптп интерфейс. Если в влане клиент с адресом 10.1.10.15/24 ломится на адрес 192.168.1.1 - то тик без задней мысли берет и пытается через интерфейс с адресом 192.168.0.0/16 искать этот злосчастный 192.168.1.1. Итог = заваливается броадкастами тик в поисках адресов и падает. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Барагоз Posted July 29, 2015 тик без задней мысли берет и пытается через интерфейс с адресом 192.168.0.0/16 искать этот злосчастный 192.168.1.1. Итог = заваливается броадкастами тик в поисках адресов и падает. А зачем вам такая большая подсеть на интерфейсе? Вам имхо надо не костыли подставлять в виде изоляции будь то средствами полиси роутинга или ip fw filter, а переосмысливать идеологию своей сети... Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
stealallsock Posted July 30, 2015 А зачем вам такая большая подсеть на интерфейсе? Вам имхо надо не костыли подставлять в виде изоляции будь то средствами полиси роутинга или ip fw filter, а переосмысливать идеологию своей сети... От таких хвостов я избавляюсь. изначально сеть была не в вланах - по-этому все клиенты,сервера и коммутаторы были в одной подсети. Сейчас развел всех клиентов по вланам. Самое интересное,что стоит 2 микротика соединены по ospf. Один долбит броадкастами в 192.168.0.0/16, а второй - нет Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
martini Posted August 1, 2015 ну запретите сети ппптп ходить на все кроме инета. всего то пару правил в фаерволе Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
