Jump to content

Запретить маршрутизацию между сетями в mikrotik

Smiley
 Share

Recommended Posts

Smiley

Smiley

Posted
Posted

приветствую, вообщем задача вроде бы тривиальна но решить её не получается.

есть 1 роутер (микротик) на нем крутиться 6 разных сетей, необходимо запретить маршрутизацию между сетями.

Порбовал средствами NAT перекрыть (смс скрины) но к сожалению не вышло/

post-104728-040368500 1346566577_thumb.png

post-104728-052695200 1346566578_thumb.png

post-104728-032775600 1346566579_thumb.png

msdt

msdt

Posted
Posted (edited)

приветствую, вообщем задача вроде бы тривиальна но решить её не получается.

есть 1 роутер (микротик) на нем крутиться 6 разных сетей, необходимо запретить маршрутизацию между сетями.

Порбовал средствами NAT перекрыть (смс скрины) но к сожалению не вышло/

 

В цепочке FORWARD двумя правилами разрешаете трафик из интерфейса, смотрящего в интернет, и наоборот, третьим правилом запрещаете любой другой трафик. Все.

Edited by msdt
Smiley

Smiley

Posted
  • Author
Posted

приветствую, вообщем задача вроде бы тривиальна но решить её не получается.

есть 1 роутер (микротик) на нем крутиться 6 разных сетей, необходимо запретить маршрутизацию между сетями.

Порбовал средствами NAT перекрыть (смс скрины) но к сожалению не вышло/

 

В цепочке FORWARD двумя правилами разрешаете трафик из интерфейса, смотрящего в интернет, и наоборот, третьим правилом запрещаете любой другой трафик. Все.

По типу (см. скрин) верно я Вас понял ?

post-104728-090316500 1346572895_thumb.png

post-104728-047553800 1346572897_thumb.png

Saab95

Saab95

Posted
Posted

Приведите в порядок адресацию сетей, что бы были все рядышком, например в 10.х.х.х, тогда создав одно правило, где будет src = 10.0.0.0/8 и dst = 10.0.0.0/8 делать дроп. Вот и все дела.

Smiley

Smiley

Posted
  • Author
Posted

Религия не позволяет, сделать всех в одну под сеть. =)

На данных сетях уже все поднято и функционирует,

например в 10.х.х.х, тогда создав одно правило, где будет src = 10.0.0.0/8 и dst = 10.0.0.0/8 делать дроп. Вот и все дела.
не очень понятно
Saab95

Saab95

Posted
Posted

Клиент у вас может идти либо в интернет, либо на те подсети, куда ему не должно быть доступа. Вот вам и надо при запросе на эти адреса блокировать трафик.

  • 3 weeks later...
tartila

tartila

Posted
Posted (edited)

Я пересмотрел уже возможные сайты. Не как не получается запретить маршрутизацию между сетями. Можно на пальцах ?

 

Наверное, Вы что-то подобное хотите сделать?

 

/ip firewall filter add chain=forward src-address=192.168.0.0/24 dst-address=192.168.1.0/24 action=drop

Edited by tartila
Smiley

Smiley

Posted
  • Author
Posted

Я пересмотрел уже возможные сайты. Не как не получается запретить маршрутизацию между сетями. Можно на пальцах ?

 

Наверное, Вы что-то подобное хотите сделать?

 

/ip firewall filter add chain=forward src-address=192.168.0.0/24 dst-address=192.168.1.0/24 action=drop

это будет выглядеть странно но все равно проходит коннект, к примеру RDP из одной сети подключаюсь к другой, а не должно быть так. = (

bomberman

bomberman

Posted
Posted

В цепочке FORWARD двумя правилами разрешаете трафик из интерфейса, смотрящего в интернет, и наоборот, третьим правилом запрещаете любой другой трафик. Все.

+1

Всего 3 правила, и всё красиво. Всегда так делаю. Никто ещё не жаловался. :)

biox

biox

Posted
Posted (edited)
Но, сдается мне ТС сам не до конца понимает, что он хочет...

Кстати очень похоже на то...

 

Товарищь ТС а у вас порты вашего микротика случайно в бридже не лежат?

Покажите плиз скрин из "Bridge/Ports"

Edited by biox
tartila

tartila

Posted
Posted (edited)

Я пересмотрел уже возможные сайты. Не как не получается запретить маршрутизацию между сетями. Можно на пальцах ?

 

Наверное, Вы что-то подобное хотите сделать?

 

/ip firewall filter add chain=forward src-address=192.168.0.0/24 dst-address=192.168.1.0/24 action=drop

это будет выглядеть странно но все равно проходит коннект, к примеру RDP из одной сети подключаюсь к другой, а не должно быть так. = (

 

/ip address pr

/ip firewall nat pr

/ip firewall nat stats

/ip firewall filter pr

/ip firewall filter pr stats

/interface bridge pr

/interface bridge port pr

 

Покажите всё.

Edited by tartila
  • 1 year later...
Nikem79

Nikem79

Posted
Posted (edited)

Я у себя реализовал таким образом (см. скрин)

 

В файрволе в Фильтр рулзах прописал цепочку forward, SRC address - подсеть к которой нужно закрыть доступ (192.168.12.0/24), Out Interface - исходящий интерфейс который имел доступ, action drop.

 

Попробуйте, может поможет. Не забудьте правило перетащить в самый верх.

post-114614-061449300 1399549140_thumb.jpg

Edited by Nikem79
Night_Snake

Night_Snake

Posted
Posted

Я бы в filter вообще не лез в таких целях...

Имхо, для запрещения трафика юзать фаервол - самое логичное решение. Если кто-то кроме вас будет это потом траблшутить, то в route rule полезет далеко не сразу...

myst

myst

Posted
Posted

Я бы в filter вообще не лез в таких целях...

ip route rule add src-address=192.168.233.0/24 dst-address=192.168.234.0/24 action=unreachable

м?

Отличный план чо. Вместо того чтоб решить проблему предназначенным для этого средством, проблема решается каким то костылем сбоку.

Вы всегда так делаете?

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.