Jump to content

Изолировать порты на RB

chetkiyparen
 Share

Recommended Posts

chetkiyparen

chetkiyparen

Posted
Posted

Добрый день!

 

На RB750 настроено:

 

eth1 - интернет, рррое-клиент

eth2 - локальный, рррое-сервер

eth3 - локальный, рррое-сервер

eth4 - локальный, рррое-сервер

eth5 - локальный, рррое-сервер

 

нужно, чтобы между локальными портами никакого локального трафика не было, а был только трафик локалка-инет.

 

сколько правил нужно создать, чтобы изолировать эти 4 локальных интерефейса друг от друга?

ilia_2s

ilia_2s

Posted
Posted

1) вырубить switch между портами

2) и в файрфоле drop на forward прописать на подсети, но это не спасет вас от прописывания адресов вручную из другой подсети

3) как полу-мера можно запретить все подсети кроме вашей

4) Еще проще выдавать адреса из разных подсетей на каждом порту, а все остальные подсети на этом порту блокировать

5) А по-хорошему зафильтровать все, кроме PPPoE...

chetkiyparen

chetkiyparen

Posted
  • Author
Posted (edited)

1) swirch 0 по умолчанию, убрал мастерпорт, как еще его вырубить?

 

 

в switch снята галка с seitch all ports, т.е. статус no

 

2) я так понимаю нужно прописать правила на forward между eth2-eth3, eth2-eth4 и т.д., т.е. предусмотреть все возможные трафики

4) я сделал разные local address у каждого рррое-сервера на портах

5) зафильтровать хорошо бы так, но я так понимаю нужно запретить все и разрешить трафик input на пул, который выдают рррое-сервера и зделать от них output во внешку? этого будет достаточно?

Edited by chetkiyparen
Saab95

Saab95

Posted
Posted

Просто сбрасывается начальная конфигурация, на каждом порту настраивается свой PPPoE сервер и никаких фильтров не надо. Трафик и так между портами ходить не будет.

Saab95

Saab95

Posted
Posted

сколько правил нужно создать, чтобы изолировать эти 4 локальных интерефейса друг от друга?

 

Если вы имеете в виду что бы клиенты PPPoE между собой не могли передавать данные, то это делается просто созданием одного правила в фильтре, где адрес источника = подсети, которые выдают клиентам, адрес назначения = подсеть клиентов и действие = дроп, только и всего=)

midius

midius

Posted
Posted

я вообще всегда сбрасываю конфиг перед настройкой! Вопрос в том, точно ли между портами в моем случае никакого трафика бегать не будет?

там скрип default есть если ты его не удаляешь то: 1 wan (dhcp - client), 2-5 (nat) (при этом порты 3-5 привязаны у 2-ому порту)

chetkiyparen

chetkiyparen

Posted
  • Author
Posted

я вообще всегда сбрасываю конфиг перед настройкой! Вопрос в том, точно ли между портами в моем случае никакого трафика бегать не будет?

там скрип default есть если ты его не удаляешь то: 1 wan (dhcp - client), 2-5 (nat) (при этом порты 3-5 привязаны у 2-ому порту)

да, я про него в курсе и сразу же удаляю при первом включении

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.