svyaznoy Опубликовано 12 марта, 2018 Доброго времени суток. Нужен совет. Есть 3 отдела (Отделы "A","B", и "C") со своими со своими компьютерами. Имеется следующая схема: Для каждого из отделов выделены свои vlanы (10, 20, 30). У клиентов в компах прописаны статические ip адреса с 30-й маской подсети (то есть, один ip-шник для компа, второй как шлюз прописан в RB1100), например, для: - отдела "A" : комп1 - 192.168.10.0/30, комп2 - 192.168.10.4/30 и так далее... - отдела "B" : комп1 - 192.168.20.0/30, комп2 - 192.168.20.4/30 и так далее... - отдела "C" : комп1 - 192.168.30.0/30, комп2 - 192.168.30.4/30 и так далее... Этим компам нужно организовать доступ к различным сервисам через роутер RB1100. Каждый сервис находится в отдельной сети и в отдельном vlane. Нужен совет с Вашей стороны: 1) как правильно настроить маршруты (где и как их настроить) именно в роутере RB1100 с подробным описанием?? Желательно через winbox. 2) как несколько сервисов из схемы объединить в группу по Vlanам, чтобы к этой группе сервисов привязать конкретный отдел? Просьба помочь. Заранее благодарю)) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 12 марта, 2018 Если все терминируется на одном маршрутизаторе, то маршруты настраивать не нужно. Доступ к сервисам регулируется ACL, а не маршрутами. 41 минуту назад, svyaznoy сказал: У клиентов в компах прописаны статические ip адреса с 30-й маской подсети Если цель — чтобы враг ничего не смог понять, то нужно поверх натянуть PPPoE и OSPF. Но обычно чем проще, тем надежней. А проще — маску /24 и подсеть на отдел. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
svyaznoy Опубликовано 12 марта, 2018 1 hour ago, alibek said: Если все терминируется на одном маршрутизаторе, то маршруты настраивать не нужно. Доступ к сервисам регулируется ACL, а не маршрутами. укажите, пожалуйста, где и как настраивается ACL? Чуточку развернуто плиз)) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 12 марта, 2018 IP - Firewall Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
svyaznoy Опубликовано 15 марта, 2018 On 12.03.2018 at 4:12 PM, alibek said: Но обычно чем проще, тем надежней. А проще — маску /24 и подсеть на отдел. Могли бы вы подсказать простой способ, как сделать так, чтобы пользователи одного отдела не видели друг друга в сети с маской/24 с средствами Микротик? Поэтому я указал маску/30. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 15 марта, 2018 За Микротик не скажу, не знаю. Обычно подобная функция называется "Изоляция портов". Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
svyaznoy Опубликовано 29 марта, 2018 On 15.03.2018 at 5:19 PM, alibek said: За Микротик не скажу, не знаю. Обычно подобная функция называется "Изоляция портов". спасибо) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
svyaznoy Опубликовано 4 апреля, 2018 (изменено) Посоветуйте как правильно настроить ACL (filter reles и nat) для ниже указанной схемы, если пользователи привязаны к железке со статическими айпинишками с маской/30? Кстати, в состав департамента входят множество отделов в разных офисах. Каждый департамент заводится в отдельный маршрутизатор с отдельным vlanом. Также нужно уточнить, что для разных пользователей в пределах одного департамента нужны доступы к разным сервисам, а не нужные необходимо закрыть. Настроить нужно закрытый файрвол. Для некоторых пользователей нужен выход в инет. Жду от вас более расширенного ответа или как минимум ссылку)) Изменено 4 апреля, 2018 пользователем svyaznoy Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
.None Опубликовано 4 апреля, 2018 создаете адрес листы service1, service2, serviceN, internet и т.д., добавляете ip адреса в листы, далее в ip firewall filter создаете сначала разрешающие правила (action=accept) forward src address list = service1 out-interface=vlan101 и так для каждого листа и каждого сервиса а потом запрещаете весь остальной forward actoin=drop почему не хотите выделить сеть на каждый отдел? /30 обязательное условие? ПК в одном отделе не должны иметь доступ друг к другу? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ne-vlezay80 Опубликовано 4 апреля, 2018 А можно через netns. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vurd Опубликовано 4 апреля, 2018 45 минут назад, ne-vlezay80 сказал: А можно через netns. В ТЗ я вижу микротик. Какое нет неймспейс? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
svyaznoy Опубликовано 5 апреля, 2018 15 hours ago, .None said: ПК в одном отделе не должны иметь доступ друг к другу? Да вы правы, такое условие Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
svyaznoy Опубликовано 5 апреля, 2018 16 hours ago, .None said: создаете адрес листы service1, service2, serviceN, internet и т.д., добавляете ip адреса в листы, далее в ip firewall filter создаете сначала разрешающие правила (action=accept) forward src address list = service1 out-interface=vlan101 в service1 какие адреса добавлены??? Адрес сервиса или адреса клиентов с маской/30??? Уточните пожалуйста Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
.None Опубликовано 5 апреля, 2018 адреса клиентов Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
svyaznoy Опубликовано 5 апреля, 2018 34 minutes ago, .None said: адреса клиентов спасибо, попробую и напишу. А в нате как прописать правила? Тоже поделитесь пож.)) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
.None Опубликовано 5 апреля, 2018 НАТ для интернета? chain=srcnat out-interface=интерфейс-WAN action=masquerade и еще не забудьте создать правила для обратного прохождения пакетов я бы сделал так, добавил в список интерфейсов interfaces -> interfaces list все интерфейсы сервисов vlan101 vlan102 и т.д. и интерфейс WAN а потом в filters правило action=accept chain=forward connection-state=established,related in-interface-list=имя_списка_интерфейсов и двинуть это правило выше запрещающего, или в самый верх Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
svyaznoy Опубликовано 5 апреля, 2018 24 minutes ago, .None said: НАТ для интернета? chain=srcnat out-interface=интерфейс-WAN action=masquerade и еще не забудьте создать правила для обратного прохождения пакетов я бы сделал так, добавил в список интерфейсов interfaces -> interfaces list все интерфейсы сервисов vlan101 vlan102 и т.д. и интерфейс WAN а потом в filters правило action=accept chain=forward connection-state=established,related in-interface-list=имя_списка_интерфейсов и двинуть это правило выше запрещающего, или в самый верх Большое спасибо. С ACL нормально заработал. А обратное правило для чего нужно указать в фильтрах с established,related??? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
.None Опубликовано 5 апреля, 2018 для того, что бы обратный пакет от сервисов не был дропнут правилом, которое все запрещает forward actoin=drop Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
svyaznoy Опубликовано 5 апреля, 2018 1 hour ago, .None said: НАТ для интернета? chain=srcnat out-interface=интерфейс-WAN action=masquerade и еще не забудьте создать правила для обратного прохождения пакетов я бы сделал так, добавил в список интерфейсов interfaces -> interfaces list все интерфейсы сервисов vlan101 vlan102 и т.д. и интерфейс WAN а потом в filters правило action=accept chain=forward connection-state=established,related in-interface-list=имя_списка_интерфейсов и двинуть это правило выше запрещающего, или в самый верх Спасибо, пока работает как часы)). И еще, посоветуйте как защитить сам роутер RB, если на нем висит белый ip на внеш. интрефейсе (стоит также задача, чтобы именно на белый ip не было пинга с паблик сети). Интересно узнать Ваши рекомендации. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
.None Опубликовано 5 апреля, 2018 в filter chain=input in-interface=интерфейс-WAN connection-state=established,related action=accept chain=input in-interface=интерфейс-WAN action=drop Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
svyaznoy Опубликовано 5 апреля, 2018 1 hour ago, .None said: в filter chain=input in-interface=интерфейс-WAN connection-state=established,related action=accept chain=input in-interface=интерфейс-WAN action=drop спасибо брат Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
.None Опубликовано 6 апреля, 2018 покажите что получилось /ip firewall filter export Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...