stealallsock Posted July 28, 2015 Posted July 28, 2015 Здравствуйте! Есть mikrotik На нем порядка 500 vlan's в каждом vlan'е своя подсеть вида 10.1.1.0/24 Адрес каждого интерфейса влана соответственно 10.1.1.1 и т.д Юзверги сидят через pptp из этих вланов,при этом и с интерфейсов пптп они свободно гуляют на любые локальные адреса вланов. Как запретить хождение юзвергов между вланами? Вставить ник Quote
Барагоз Posted July 29, 2015 Posted July 29, 2015 ip route rule add src-address=10.0.0.0/8 dst-address=10.0.0.0/8 action=unreachable (для примера) Вставить ник Quote
stealallsock Posted July 29, 2015 Author Posted July 29, 2015 ip route rule add src-address=10.0.0.0/8 dst-address=10.0.0.0/8 action=unreachable (для примера) Тогда юзеры с адресами 10.1.1.0/24 не смогут попадать на свои шлюзы,если я правильно понимаю. Вставить ник Quote
stealallsock Posted July 29, 2015 Author Posted July 29, 2015 GrandPr1de Какой красочный и развернутый ответ. Вставить ник Quote
kaist Posted July 29, 2015 Posted July 29, 2015 1) создайте адрес-лист, внесите в него все сетки, для которых хотите запретить связность 2) создайте правило фаервола для цепочки forward, где укажите ранее созданный адрес-лист в качестве src addres-list и dst addres-list, действие reject Вставить ник Quote
GrandPr1de Posted July 29, 2015 Posted July 29, 2015 мой ответ был дополнением к тому правилу фаервола, если бы chain=input то да, они бы не достучались до шлюза а при форвардинге все ок Вставить ник Quote
NikAlexAn Posted July 29, 2015 Posted July 29, 2015 Чёта я не понял: предлагалось решить задачу с помощью route rules. А тогда, насколько я понимаю, запрещается только роутинг и непонятно тогда при чём тут недоступность шлюза и chain-ы в ip fw? Или как? Вставить ник Quote
stealallsock Posted July 29, 2015 Author Posted July 29, 2015 2 проблемы Клиент подключается через pptp Если он поднимает pptp - то в другой влан он свободно шурует через пптп интерфейс. Если в влане клиент с адресом 10.1.10.15/24 ломится на адрес 192.168.1.1 - то тик без задней мысли берет и пытается через интерфейс с адресом 192.168.0.0/16 искать этот злосчастный 192.168.1.1. Итог = заваливается броадкастами тик в поисках адресов и падает. Вставить ник Quote
Барагоз Posted July 29, 2015 Posted July 29, 2015 тик без задней мысли берет и пытается через интерфейс с адресом 192.168.0.0/16 искать этот злосчастный 192.168.1.1. Итог = заваливается броадкастами тик в поисках адресов и падает. А зачем вам такая большая подсеть на интерфейсе? Вам имхо надо не костыли подставлять в виде изоляции будь то средствами полиси роутинга или ip fw filter, а переосмысливать идеологию своей сети... Вставить ник Quote
stealallsock Posted July 30, 2015 Author Posted July 30, 2015 А зачем вам такая большая подсеть на интерфейсе? Вам имхо надо не костыли подставлять в виде изоляции будь то средствами полиси роутинга или ip fw filter, а переосмысливать идеологию своей сети... От таких хвостов я избавляюсь. изначально сеть была не в вланах - по-этому все клиенты,сервера и коммутаторы были в одной подсети. Сейчас развел всех клиентов по вланам. Самое интересное,что стоит 2 микротика соединены по ospf. Один долбит броадкастами в 192.168.0.0/16, а второй - нет Вставить ник Quote
martini Posted August 1, 2015 Posted August 1, 2015 ну запретите сети ппптп ходить на все кроме инета. всего то пару правил в фаерволе Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.