Artom_12 Posted September 6, 2018 Posted September 6, 2018 (edited) Есть mikrotik ccr 1016 на нём 15 сетей (/24) (во всех он основной шлюз) надо ограничить сеть 1.1.1.0/24 чтобы она имела доступ только к сети например 2.2.2.0/24 а остальные не видела и не имела доступа в них (грубо запретить форвардинг) чтото не очень понял как сделать верно, подскажите? неужели простое add action=drop chain=forward dst-address=!2.2.2.0/24 src-address=1.1.1.0/24 должно помочь? Edited September 6, 2018 by Artom_12 Вставить ник Quote
VolanD666 Posted September 7, 2018 Posted September 7, 2018 Я бы распихал интерфейсы по разным vrf. Правда врф у микрота немного корявый, но клиенты будут изолированы. Вставить ник Quote
Artom_12 Posted September 7, 2018 Author Posted September 7, 2018 это уже сложности какие-то :) хотел простым файрволлом порезать... Вставить ник Quote
VolanD666 Posted September 7, 2018 Posted September 7, 2018 добавляете интерфейс в нужный vrf и все, какие сложности? Вставить ник Quote
Artom_12 Posted September 7, 2018 Author Posted September 7, 2018 (edited) на некоторых машинах мне надо иметь доступ к это сети, поэтому я думаю vrf не очень то и подходит нашёл то что мне надо, спасибо Edited September 7, 2018 by Artom_12 Вставить ник Quote
boav Posted September 7, 2018 Posted September 7, 2018 @Artom_12 Цитата /ip route rule> print Flags: X - disabled, I - inactive 0 src-address=192.168.1.0/24 dst-address=192.168.2.0/24 action=unreachable 1 src-address=192.168.2.0/24 dst-address=192.168.1.0/24 action=unreachable Вставить ник Quote
Artom_12 Posted September 7, 2018 Author Posted September 7, 2018 да, именно это и нашёл, правильно я понимаю: правило 0 закрывает доступ для сети 192.168.1.0 из сети 192.168.2.0, а правило 1 закрывает доступ для сети 192.168.2.0 из сети 192.168.1.0 ? Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.