[SashaGub]

Ситуация такая есть выше указанный роутер (Mikrotik RB/1100 AHx2) на который приходят несколько VLANов, естественно все вланы автоматически роутятся, вопрос как сделать чтобы пользователи VLAN ID 10 (10.10.10.0/24) не видели VLAN ID 11 (10.10.11.0/24) и наоборот ? Понимаю, что нужно в Firewallе создать несколько правил на drop, но мучаюсь целый вечер ничего не получается.

 

Пробовал такой вариант:

 

chain=input action=drop dst-address=!10.10.10.0/24 in-interface=10

chain=forward action=drop src-address=10.10.10.0/24 out-interface=!ether1

не получилось

 

Пробовал метить в mangle, в цепочке prerouting, чтобы потом дропать firewollе - дропает все пакеты.

 

Понимаю что вопрос не сложный, но что-то я не решу его...

[Saab95]

Вам надо создать новое правило в Firewall, ничего не трогая указать в src.address = 10.10.10.0/24 и dst.address = 10.10.11.0/24, перейти на вкладку Action и указать Drop. Сделать еще одно правило где поменяете подсти местами.

[SyJet]

Примерно так

 

chain=forward action=drop in-interface=vlan10 out-interface=vlan11

chain=forward action=drop in-interface=vlan11 out-interface=vlan10

[vnkorol]

А если десять вланов надо изолировать?

[dmvy]

тогда разрешаете что надо и все остальное запрещаете.

[Барагоз]

А я бы лучше не в фильтрах, а в policy routing выдавал unreachable.

[vnkorol]

А я бы лучше не в фильтрах, а в policy routing выдавал unreachable.

 

Можно чуть-чуть поподробнее - это где и как?

[Барагоз]

что-нибудь вроде

ip route rule add src-address=192.168.1.0/24 dst-address=192.168.2.0/24 action=unreachable

[vnkorol]

а, т.е. то же, для всех интерфейсов попарно по два правила?

[Барагоз]

Ну да, если вланов много, количество правил разростется...

А скажите по секрету, зачем изолировать вланы на микротике?) Я вот не изолирую нигде. На коммутаторах порезаны netbios-черви, левые dhcp и пр. грязь, а по L3-то юзерские вланы нехай роутятся друг с другом. Трафика между ними всё равно ничтожное количество по сравнению с трафиком вовне/извне.

Изменено 10 марта, 2013 пользователем Барагоз

[vnkorol]

Если честно, изначально хотел просто изолировать свои самбовые шары от посторонних. Потом пошло-поехало - решил полностью огородить свою домашнюю подсеть от соседей (я им интернет раздаю). Потом подумал (точнее подсказали), что можно не париться и каждому соседу дать отдельную подсеть через вланы. Сейчас на стадии тестирования обнаружил, что устройства из разных подсетей видят друг друга (нетбиос нет, конечно, но пинги и tcp/udp соединения да). Вот сижу и чешу репу, как бы их всех попроще изолировать как минимум от моей подсетки, а как максимум друг от друга...

[vnkorol]

Кстати, что скажете на вот такую конструкцию?

bridge-local - это бридж интерфейсов, к которому подключены домашние компы (остальные соседские на отдельных вланах)

pppoe-rostelecom - интерфейс, на котором поднимается соединение с провайдером

 

 

chain=forward action=drop in-interface=bridge-local out-interface=!pppoe-rostelecom