Smiley Опубликовано 2 сентября, 2012 · Жалоба приветствую, вообщем задача вроде бы тривиальна но решить её не получается. есть 1 роутер (микротик) на нем крутиться 6 разных сетей, необходимо запретить маршрутизацию между сетями. Порбовал средствами NAT перекрыть (смс скрины) но к сожалению не вышло/ Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
biox Опубликовано 2 сентября, 2012 · Жалоба Нат то тут при чём? просто создайте соответствующие "Filter rules". Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Smiley Опубликовано 2 сентября, 2012 · Жалоба Можно чуть подробнее? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
msdt Опубликовано 2 сентября, 2012 (изменено) · Жалоба приветствую, вообщем задача вроде бы тривиальна но решить её не получается. есть 1 роутер (микротик) на нем крутиться 6 разных сетей, необходимо запретить маршрутизацию между сетями. Порбовал средствами NAT перекрыть (смс скрины) но к сожалению не вышло/ В цепочке FORWARD двумя правилами разрешаете трафик из интерфейса, смотрящего в интернет, и наоборот, третьим правилом запрещаете любой другой трафик. Все. Изменено 2 сентября, 2012 пользователем msdt Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Smiley Опубликовано 2 сентября, 2012 · Жалоба приветствую, вообщем задача вроде бы тривиальна но решить её не получается. есть 1 роутер (микротик) на нем крутиться 6 разных сетей, необходимо запретить маршрутизацию между сетями. Порбовал средствами NAT перекрыть (смс скрины) но к сожалению не вышло/ В цепочке FORWARD двумя правилами разрешаете трафик из интерфейса, смотрящего в интернет, и наоборот, третьим правилом запрещаете любой другой трафик. Все. По типу (см. скрин) верно я Вас понял ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 2 сентября, 2012 · Жалоба Приведите в порядок адресацию сетей, что бы были все рядышком, например в 10.х.х.х, тогда создав одно правило, где будет src = 10.0.0.0/8 и dst = 10.0.0.0/8 делать дроп. Вот и все дела. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Smiley Опубликовано 2 сентября, 2012 · Жалоба Религия не позволяет, сделать всех в одну под сеть. =) На данных сетях уже все поднято и функционирует, например в 10.х.х.х, тогда создав одно правило, где будет src = 10.0.0.0/8 и dst = 10.0.0.0/8 делать дроп. Вот и все дела. не очень понятно Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 2 сентября, 2012 · Жалоба Клиент у вас может идти либо в интернет, либо на те подсети, куда ему не должно быть доступа. Вот вам и надо при запросе на эти адреса блокировать трафик. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
uxcr Опубликовано 3 сентября, 2012 · Жалоба У микротика стандартные врфы есть, в отличие от фаервола по-моему куда логичнее использовать их. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
biox Опубликовано 3 сентября, 2012 · Жалоба есть волшебный сайт Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Smiley Опубликовано 19 сентября, 2012 · Жалоба Я пересмотрел уже возможные сайты. Не как не получается запретить маршрутизацию между сетями. Можно на пальцах ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
tartila Опубликовано 19 сентября, 2012 (изменено) · Жалоба Я пересмотрел уже возможные сайты. Не как не получается запретить маршрутизацию между сетями. Можно на пальцах ? Наверное, Вы что-то подобное хотите сделать? /ip firewall filter add chain=forward src-address=192.168.0.0/24 dst-address=192.168.1.0/24 action=drop Изменено 19 сентября, 2012 пользователем tartila Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Smiley Опубликовано 19 сентября, 2012 · Жалоба Я пересмотрел уже возможные сайты. Не как не получается запретить маршрутизацию между сетями. Можно на пальцах ? Наверное, Вы что-то подобное хотите сделать? /ip firewall filter add chain=forward src-address=192.168.0.0/24 dst-address=192.168.1.0/24 action=drop это будет выглядеть странно но все равно проходит коннект, к примеру RDP из одной сети подключаюсь к другой, а не должно быть так. = ( Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
bomberman Опубликовано 19 сентября, 2012 · Жалоба В цепочке FORWARD двумя правилами разрешаете трафик из интерфейса, смотрящего в интернет, и наоборот, третьим правилом запрещаете любой другой трафик. Все. +1 Всего 3 правила, и всё красиво. Всегда так делаю. Никто ещё не жаловался. :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
montino Опубликовано 19 сентября, 2012 · Жалоба Может в сети есть коммутатор L3? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Night_Snake Опубликовано 19 сентября, 2012 · Жалоба фаервол - большего не надо. Но, сдается мне ТС сам не до конца понимает, что он хочет... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
biox Опубликовано 20 сентября, 2012 (изменено) · Жалоба Но, сдается мне ТС сам не до конца понимает, что он хочет... Кстати очень похоже на то... Товарищь ТС а у вас порты вашего микротика случайно в бридже не лежат? Покажите плиз скрин из "Bridge/Ports" Изменено 20 сентября, 2012 пользователем biox Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
tartila Опубликовано 20 сентября, 2012 (изменено) · Жалоба Я пересмотрел уже возможные сайты. Не как не получается запретить маршрутизацию между сетями. Можно на пальцах ? Наверное, Вы что-то подобное хотите сделать? /ip firewall filter add chain=forward src-address=192.168.0.0/24 dst-address=192.168.1.0/24 action=drop это будет выглядеть странно но все равно проходит коннект, к примеру RDP из одной сети подключаюсь к другой, а не должно быть так. = ( /ip address pr /ip firewall nat pr /ip firewall nat stats /ip firewall filter pr /ip firewall filter pr stats /interface bridge pr /interface bridge port pr Покажите всё. Изменено 20 сентября, 2012 пользователем tartila Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Smiley Опубликовано 24 сентября, 2012 · Жалоба Боюсь это не реально, т.к очень много строк. = ( Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
tartila Опубликовано 24 сентября, 2012 · Жалоба Боюсь это не реально, т.к очень много строк. = ( Боюсь, тогда вам надо самому разбираться, ибо телепаты в отпуске. :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Nikem79 Опубликовано 8 мая, 2014 (изменено) · Жалоба Я у себя реализовал таким образом (см. скрин) В файрволе в Фильтр рулзах прописал цепочку forward, SRC address - подсеть к которой нужно закрыть доступ (192.168.12.0/24), Out Interface - исходящий интерфейс который имел доступ, action drop. Попробуйте, может поможет. Не забудьте правило перетащить в самый верх. Изменено 8 мая, 2014 пользователем Nikem79 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Барагоз Опубликовано 8 мая, 2014 · Жалоба Я бы в filter вообще не лез в таких целях... ip route rule add src-address=192.168.233.0/24 dst-address=192.168.234.0/24 action=unreachable м? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
t1bur1an Опубликовано 8 мая, 2014 · Жалоба Барагоз не парься, они в микротиках любят все делать в фаерволле да с маркировками пакетов :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Night_Snake Опубликовано 13 мая, 2014 · Жалоба Я бы в filter вообще не лез в таких целях... Имхо, для запрещения трафика юзать фаервол - самое логичное решение. Если кто-то кроме вас будет это потом траблшутить, то в route rule полезет далеко не сразу... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myst Опубликовано 13 мая, 2014 · Жалоба Я бы в filter вообще не лез в таких целях... ip route rule add src-address=192.168.233.0/24 dst-address=192.168.234.0/24 action=unreachable м? Отличный план чо. Вместо того чтоб решить проблему предназначенным для этого средством, проблема решается каким то костылем сбоку. Вы всегда так делаете? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...