Jump to content
Калькуляторы

Запретить маршрутизацию между сетями в mikrotik

Reply to this topic

Smiley   

Smiley
Posted

приветствую, вообщем задача вроде бы тривиальна но решить её не получается.

есть 1 роутер (микротик) на нем крутиться 6 разных сетей, необходимо запретить маршрутизацию между сетями.

Порбовал средствами NAT перекрыть (смс скрины) но к сожалению не вышло/

post-104728-040368500 1346566577_thumb.png

post-104728-052695200 1346566578_thumb.png

post-104728-032775600 1346566579_thumb.png

Share this post

Link to post
Share on other sites

msdt   

msdt
Posted (edited)

приветствую, вообщем задача вроде бы тривиальна но решить её не получается.

есть 1 роутер (микротик) на нем крутиться 6 разных сетей, необходимо запретить маршрутизацию между сетями.

Порбовал средствами NAT перекрыть (смс скрины) но к сожалению не вышло/

 

В цепочке FORWARD двумя правилами разрешаете трафик из интерфейса, смотрящего в интернет, и наоборот, третьим правилом запрещаете любой другой трафик. Все.

Edited by msdt

Share this post

Link to post
Share on other sites

Smiley   

Smiley
Posted

приветствую, вообщем задача вроде бы тривиальна но решить её не получается.

есть 1 роутер (микротик) на нем крутиться 6 разных сетей, необходимо запретить маршрутизацию между сетями.

Порбовал средствами NAT перекрыть (смс скрины) но к сожалению не вышло/

 

В цепочке FORWARD двумя правилами разрешаете трафик из интерфейса, смотрящего в интернет, и наоборот, третьим правилом запрещаете любой другой трафик. Все.

По типу (см. скрин) верно я Вас понял ?

post-104728-090316500 1346572895_thumb.png

post-104728-047553800 1346572897_thumb.png

Share this post

Link to post
Share on other sites

Saab95   

Saab95
Posted

Приведите в порядок адресацию сетей, что бы были все рядышком, например в 10.х.х.х, тогда создав одно правило, где будет src = 10.0.0.0/8 и dst = 10.0.0.0/8 делать дроп. Вот и все дела.

Share this post

Link to post
Share on other sites

Smiley   

Smiley
Posted

Религия не позволяет, сделать всех в одну под сеть. =)

На данных сетях уже все поднято и функционирует,

например в 10.х.х.х, тогда создав одно правило, где будет src = 10.0.0.0/8 и dst = 10.0.0.0/8 делать дроп. Вот и все дела.
не очень понятно

Share this post

Link to post
Share on other sites

Saab95   

Saab95
Posted

Клиент у вас может идти либо в интернет, либо на те подсети, куда ему не должно быть доступа. Вот вам и надо при запросе на эти адреса блокировать трафик.

Share this post

Link to post
Share on other sites

uxcr   

uxcr
Posted

У микротика стандартные врфы есть, в отличие от фаервола по-моему куда логичнее использовать их.

Share this post

Link to post
Share on other sites

tartila   

tartila
Posted (edited)

Я пересмотрел уже возможные сайты. Не как не получается запретить маршрутизацию между сетями. Можно на пальцах ?

 

Наверное, Вы что-то подобное хотите сделать?

 

/ip firewall filter add chain=forward src-address=192.168.0.0/24 dst-address=192.168.1.0/24 action=drop

Edited by tartila

Share this post

Link to post
Share on other sites

Smiley   

Smiley
Posted

Я пересмотрел уже возможные сайты. Не как не получается запретить маршрутизацию между сетями. Можно на пальцах ?

 

Наверное, Вы что-то подобное хотите сделать?

 

/ip firewall filter add chain=forward src-address=192.168.0.0/24 dst-address=192.168.1.0/24 action=drop

это будет выглядеть странно но все равно проходит коннект, к примеру RDP из одной сети подключаюсь к другой, а не должно быть так. = (

Share this post

Link to post
Share on other sites

bomberman   

bomberman
Posted

В цепочке FORWARD двумя правилами разрешаете трафик из интерфейса, смотрящего в интернет, и наоборот, третьим правилом запрещаете любой другой трафик. Все.

+1

Всего 3 правила, и всё красиво. Всегда так делаю. Никто ещё не жаловался. :)

Share this post

Link to post
Share on other sites

Night_Snake   

Night_Snake
Posted

фаервол - большего не надо.

Но, сдается мне ТС сам не до конца понимает, что он хочет...

Share this post

Link to post
Share on other sites

biox   

biox
Posted (edited)
Но, сдается мне ТС сам не до конца понимает, что он хочет...

Кстати очень похоже на то...

 

Товарищь ТС а у вас порты вашего микротика случайно в бридже не лежат?

Покажите плиз скрин из "Bridge/Ports"

Edited by biox

Share this post

Link to post
Share on other sites

tartila   

tartila
Posted (edited)

Я пересмотрел уже возможные сайты. Не как не получается запретить маршрутизацию между сетями. Можно на пальцах ?

 

Наверное, Вы что-то подобное хотите сделать?

 

/ip firewall filter add chain=forward src-address=192.168.0.0/24 dst-address=192.168.1.0/24 action=drop

это будет выглядеть странно но все равно проходит коннект, к примеру RDP из одной сети подключаюсь к другой, а не должно быть так. = (

 

/ip address pr

/ip firewall nat pr

/ip firewall nat stats

/ip firewall filter pr

/ip firewall filter pr stats

/interface bridge pr

/interface bridge port pr

 

Покажите всё.

Edited by tartila

Share this post

Link to post
Share on other sites

tartila   

tartila
Posted

Боюсь это не реально, т.к очень много строк. = (

 

Боюсь, тогда вам надо самому разбираться, ибо телепаты в отпуске. :)

Share this post

Link to post
Share on other sites

Nikem79   

Nikem79
Posted (edited)

Я у себя реализовал таким образом (см. скрин)

 

В файрволе в Фильтр рулзах прописал цепочку forward, SRC address - подсеть к которой нужно закрыть доступ (192.168.12.0/24), Out Interface - исходящий интерфейс который имел доступ, action drop.

 

Попробуйте, может поможет. Не забудьте правило перетащить в самый верх.

post-114614-061449300 1399549140_thumb.jpg

Edited by Nikem79

Share this post

Link to post
Share on other sites

Night_Snake   

Night_Snake
Posted

Я бы в filter вообще не лез в таких целях...

Имхо, для запрещения трафика юзать фаервол - самое логичное решение. Если кто-то кроме вас будет это потом траблшутить, то в route rule полезет далеко не сразу...

Share this post

Link to post
Share on other sites

myst   

myst
Posted

Я бы в filter вообще не лез в таких целях...

ip route rule add src-address=192.168.233.0/24 dst-address=192.168.234.0/24 action=unreachable

м?

Отличный план чо. Вместо того чтоб решить проблему предназначенным для этого средством, проблема решается каким то костылем сбоку.

Вы всегда так делаете?

Share this post

Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
Followers 0
Go to topic listing Mikrotik коммутаторы и маршрутизаторы