SashaGub Posted November 10, 2012 Posted November 10, 2012 Ситуация такая есть выше указанный роутер (Mikrotik RB/1100 AHx2) на который приходят несколько VLANов, естественно все вланы автоматически роутятся, вопрос как сделать чтобы пользователи VLAN ID 10 (10.10.10.0/24) не видели VLAN ID 11 (10.10.11.0/24) и наоборот ? Понимаю, что нужно в Firewallе создать несколько правил на drop, но мучаюсь целый вечер ничего не получается. Пробовал такой вариант: chain=input action=drop dst-address=!10.10.10.0/24 in-interface=10 chain=forward action=drop src-address=10.10.10.0/24 out-interface=!ether1 не получилось Пробовал метить в mangle, в цепочке prerouting, чтобы потом дропать firewollе - дропает все пакеты. Понимаю что вопрос не сложный, но что-то я не решу его... Вставить ник Quote
Saab95 Posted November 10, 2012 Posted November 10, 2012 Вам надо создать новое правило в Firewall, ничего не трогая указать в src.address = 10.10.10.0/24 и dst.address = 10.10.11.0/24, перейти на вкладку Action и указать Drop. Сделать еще одно правило где поменяете подсти местами. Вставить ник Quote
SyJet Posted November 15, 2012 Posted November 15, 2012 Примерно так chain=forward action=drop in-interface=vlan10 out-interface=vlan11 chain=forward action=drop in-interface=vlan11 out-interface=vlan10 Вставить ник Quote
vnkorol Posted March 10, 2013 Posted March 10, 2013 А если десять вланов надо изолировать? Вставить ник Quote
dmvy Posted March 10, 2013 Posted March 10, 2013 тогда разрешаете что надо и все остальное запрещаете. Вставить ник Quote
Барагоз Posted March 10, 2013 Posted March 10, 2013 А я бы лучше не в фильтрах, а в policy routing выдавал unreachable. Вставить ник Quote
vnkorol Posted March 10, 2013 Posted March 10, 2013 А я бы лучше не в фильтрах, а в policy routing выдавал unreachable. Можно чуть-чуть поподробнее - это где и как? Вставить ник Quote
Барагоз Posted March 10, 2013 Posted March 10, 2013 что-нибудь вроде ip route rule add src-address=192.168.1.0/24 dst-address=192.168.2.0/24 action=unreachable Вставить ник Quote
vnkorol Posted March 10, 2013 Posted March 10, 2013 а, т.е. то же, для всех интерфейсов попарно по два правила? Вставить ник Quote
Барагоз Posted March 10, 2013 Posted March 10, 2013 (edited) Ну да, если вланов много, количество правил разростется... А скажите по секрету, зачем изолировать вланы на микротике?) Я вот не изолирую нигде. На коммутаторах порезаны netbios-черви, левые dhcp и пр. грязь, а по L3-то юзерские вланы нехай роутятся друг с другом. Трафика между ними всё равно ничтожное количество по сравнению с трафиком вовне/извне. Edited March 10, 2013 by Барагоз Вставить ник Quote
vnkorol Posted March 10, 2013 Posted March 10, 2013 Если честно, изначально хотел просто изолировать свои самбовые шары от посторонних. Потом пошло-поехало - решил полностью огородить свою домашнюю подсеть от соседей (я им интернет раздаю). Потом подумал (точнее подсказали), что можно не париться и каждому соседу дать отдельную подсеть через вланы. Сейчас на стадии тестирования обнаружил, что устройства из разных подсетей видят друг друга (нетбиос нет, конечно, но пинги и tcp/udp соединения да). Вот сижу и чешу репу, как бы их всех попроще изолировать как минимум от моей подсетки, а как максимум друг от друга... Вставить ник Quote
vnkorol Posted March 10, 2013 Posted March 10, 2013 Кстати, что скажете на вот такую конструкцию? bridge-local - это бридж интерфейсов, к которому подключены домашние компы (остальные соседские на отдельных вланах) pppoe-rostelecom - интерфейс, на котором поднимается соединение с провайдером chain=forward action=drop in-interface=bridge-local out-interface=!pppoe-rostelecom Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.