stealallsock Опубликовано 28 июля, 2015 · Жалоба Здравствуйте! Есть mikrotik На нем порядка 500 vlan's в каждом vlan'е своя подсеть вида 10.1.1.0/24 Адрес каждого интерфейса влана соответственно 10.1.1.1 и т.д Юзверги сидят через pptp из этих вланов,при этом и с интерфейсов пптп они свободно гуляют на любые локальные адреса вланов. Как запретить хождение юзвергов между вланами? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Барагоз Опубликовано 29 июля, 2015 · Жалоба ip route rule add src-address=10.0.0.0/8 dst-address=10.0.0.0/8 action=unreachable (для примера) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
stealallsock Опубликовано 29 июля, 2015 · Жалоба ip route rule add src-address=10.0.0.0/8 dst-address=10.0.0.0/8 action=unreachable (для примера) Тогда юзеры с адресами 10.1.1.0/24 не смогут попадать на свои шлюзы,если я правильно понимаю. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
GrandPr1de Опубликовано 29 июля, 2015 · Жалоба chain=forward Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
stealallsock Опубликовано 29 июля, 2015 · Жалоба GrandPr1de Какой красочный и развернутый ответ. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kaist Опубликовано 29 июля, 2015 · Жалоба 1) создайте адрес-лист, внесите в него все сетки, для которых хотите запретить связность 2) создайте правило фаервола для цепочки forward, где укажите ранее созданный адрес-лист в качестве src addres-list и dst addres-list, действие reject Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
GrandPr1de Опубликовано 29 июля, 2015 · Жалоба мой ответ был дополнением к тому правилу фаервола, если бы chain=input то да, они бы не достучались до шлюза а при форвардинге все ок Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NikAlexAn Опубликовано 29 июля, 2015 · Жалоба Чёта я не понял: предлагалось решить задачу с помощью route rules. А тогда, насколько я понимаю, запрещается только роутинг и непонятно тогда при чём тут недоступность шлюза и chain-ы в ip fw? Или как? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
stealallsock Опубликовано 29 июля, 2015 · Жалоба 2 проблемы Клиент подключается через pptp Если он поднимает pptp - то в другой влан он свободно шурует через пптп интерфейс. Если в влане клиент с адресом 10.1.10.15/24 ломится на адрес 192.168.1.1 - то тик без задней мысли берет и пытается через интерфейс с адресом 192.168.0.0/16 искать этот злосчастный 192.168.1.1. Итог = заваливается броадкастами тик в поисках адресов и падает. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Барагоз Опубликовано 29 июля, 2015 · Жалоба тик без задней мысли берет и пытается через интерфейс с адресом 192.168.0.0/16 искать этот злосчастный 192.168.1.1. Итог = заваливается броадкастами тик в поисках адресов и падает. А зачем вам такая большая подсеть на интерфейсе? Вам имхо надо не костыли подставлять в виде изоляции будь то средствами полиси роутинга или ip fw filter, а переосмысливать идеологию своей сети... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
stealallsock Опубликовано 30 июля, 2015 · Жалоба А зачем вам такая большая подсеть на интерфейсе? Вам имхо надо не костыли подставлять в виде изоляции будь то средствами полиси роутинга или ip fw filter, а переосмысливать идеологию своей сети... От таких хвостов я избавляюсь. изначально сеть была не в вланах - по-этому все клиенты,сервера и коммутаторы были в одной подсети. Сейчас развел всех клиентов по вланам. Самое интересное,что стоит 2 микротика соединены по ospf. Один долбит броадкастами в 192.168.0.0/16, а второй - нет Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
martini Опубликовано 1 августа, 2015 · Жалоба ну запретите сети ппптп ходить на все кроме инета. всего то пару правил в фаерволе Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...