SashaGub Опубликовано 10 ноября, 2012 · Жалоба Ситуация такая есть выше указанный роутер (Mikrotik RB/1100 AHx2) на который приходят несколько VLANов, естественно все вланы автоматически роутятся, вопрос как сделать чтобы пользователи VLAN ID 10 (10.10.10.0/24) не видели VLAN ID 11 (10.10.11.0/24) и наоборот ? Понимаю, что нужно в Firewallе создать несколько правил на drop, но мучаюсь целый вечер ничего не получается. Пробовал такой вариант: chain=input action=drop dst-address=!10.10.10.0/24 in-interface=10 chain=forward action=drop src-address=10.10.10.0/24 out-interface=!ether1 не получилось Пробовал метить в mangle, в цепочке prerouting, чтобы потом дропать firewollе - дропает все пакеты. Понимаю что вопрос не сложный, но что-то я не решу его... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 10 ноября, 2012 · Жалоба Вам надо создать новое правило в Firewall, ничего не трогая указать в src.address = 10.10.10.0/24 и dst.address = 10.10.11.0/24, перейти на вкладку Action и указать Drop. Сделать еще одно правило где поменяете подсти местами. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SyJet Опубликовано 15 ноября, 2012 · Жалоба Примерно так chain=forward action=drop in-interface=vlan10 out-interface=vlan11 chain=forward action=drop in-interface=vlan11 out-interface=vlan10 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vnkorol Опубликовано 10 марта, 2013 · Жалоба А если десять вланов надо изолировать? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dmvy Опубликовано 10 марта, 2013 · Жалоба тогда разрешаете что надо и все остальное запрещаете. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Барагоз Опубликовано 10 марта, 2013 · Жалоба А я бы лучше не в фильтрах, а в policy routing выдавал unreachable. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vnkorol Опубликовано 10 марта, 2013 · Жалоба А я бы лучше не в фильтрах, а в policy routing выдавал unreachable. Можно чуть-чуть поподробнее - это где и как? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Барагоз Опубликовано 10 марта, 2013 · Жалоба что-нибудь вроде ip route rule add src-address=192.168.1.0/24 dst-address=192.168.2.0/24 action=unreachable Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vnkorol Опубликовано 10 марта, 2013 · Жалоба а, т.е. то же, для всех интерфейсов попарно по два правила? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Барагоз Опубликовано 10 марта, 2013 (изменено) · Жалоба Ну да, если вланов много, количество правил разростется... А скажите по секрету, зачем изолировать вланы на микротике?) Я вот не изолирую нигде. На коммутаторах порезаны netbios-черви, левые dhcp и пр. грязь, а по L3-то юзерские вланы нехай роутятся друг с другом. Трафика между ними всё равно ничтожное количество по сравнению с трафиком вовне/извне. Изменено 10 марта, 2013 пользователем Барагоз Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vnkorol Опубликовано 10 марта, 2013 · Жалоба Если честно, изначально хотел просто изолировать свои самбовые шары от посторонних. Потом пошло-поехало - решил полностью огородить свою домашнюю подсеть от соседей (я им интернет раздаю). Потом подумал (точнее подсказали), что можно не париться и каждому соседу дать отдельную подсеть через вланы. Сейчас на стадии тестирования обнаружил, что устройства из разных подсетей видят друг друга (нетбиос нет, конечно, но пинги и tcp/udp соединения да). Вот сижу и чешу репу, как бы их всех попроще изолировать как минимум от моей подсетки, а как максимум друг от друга... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vnkorol Опубликовано 10 марта, 2013 · Жалоба Кстати, что скажете на вот такую конструкцию? bridge-local - это бридж интерфейсов, к которому подключены домашние компы (остальные соседские на отдельных вланах) pppoe-rostelecom - интерфейс, на котором поднимается соединение с провайдером chain=forward action=drop in-interface=bridge-local out-interface=!pppoe-rostelecom Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...