Jump to content
Калькуляторы

Изолировать порты на RB

Reply to this topic

chetkiyparen   

chetkiyparen
Posted

Добрый день!

 

На RB750 настроено:

 

eth1 - интернет, рррое-клиент

eth2 - локальный, рррое-сервер

eth3 - локальный, рррое-сервер

eth4 - локальный, рррое-сервер

eth5 - локальный, рррое-сервер

 

нужно, чтобы между локальными портами никакого локального трафика не было, а был только трафик локалка-инет.

 

сколько правил нужно создать, чтобы изолировать эти 4 локальных интерефейса друг от друга?

Share this post

Link to post
Share on other sites

ilia_2s   

ilia_2s
Posted

1) вырубить switch между портами

2) и в файрфоле drop на forward прописать на подсети, но это не спасет вас от прописывания адресов вручную из другой подсети

3) как полу-мера можно запретить все подсети кроме вашей

4) Еще проще выдавать адреса из разных подсетей на каждом порту, а все остальные подсети на этом порту блокировать

5) А по-хорошему зафильтровать все, кроме PPPoE...

Share this post

Link to post
Share on other sites

chetkiyparen   

chetkiyparen
Posted (edited)

1) swirch 0 по умолчанию, убрал мастерпорт, как еще его вырубить?

 

 

в switch снята галка с seitch all ports, т.е. статус no

 

2) я так понимаю нужно прописать правила на forward между eth2-eth3, eth2-eth4 и т.д., т.е. предусмотреть все возможные трафики

4) я сделал разные local address у каждого рррое-сервера на портах

5) зафильтровать хорошо бы так, но я так понимаю нужно запретить все и разрешить трафик input на пул, который выдают рррое-сервера и зделать от них output во внешку? этого будет достаточно?

Edited by chetkiyparen

Share this post

Link to post
Share on other sites

Saab95   

Saab95
Posted

Просто сбрасывается начальная конфигурация, на каждом порту настраивается свой PPPoE сервер и никаких фильтров не надо. Трафик и так между портами ходить не будет.

Share this post

Link to post
Share on other sites

Saab95   

Saab95
Posted

сколько правил нужно создать, чтобы изолировать эти 4 локальных интерефейса друг от друга?

 

Если вы имеете в виду что бы клиенты PPPoE между собой не могли передавать данные, то это делается просто созданием одного правила в фильтре, где адрес источника = подсети, которые выдают клиентам, адрес назначения = подсеть клиентов и действие = дроп, только и всего=)

Share this post

Link to post
Share on other sites

chetkiyparen   

chetkiyparen
Posted

я вообще всегда сбрасываю конфиг перед настройкой! Вопрос в том, точно ли между портами в моем случае никакого трафика бегать не будет?

Share this post

Link to post
Share on other sites

Saab95   

Saab95
Posted

Если сбросить то порты оказываются изолированными друг от друга физически, микротик при этом коммутатором не работает.

Share this post

Link to post
Share on other sites

midius   

midius
Posted

я вообще всегда сбрасываю конфиг перед настройкой! Вопрос в том, точно ли между портами в моем случае никакого трафика бегать не будет?

там скрип default есть если ты его не удаляешь то: 1 wan (dhcp - client), 2-5 (nat) (при этом порты 3-5 привязаны у 2-ому порту)

Share this post

Link to post
Share on other sites

chetkiyparen   

chetkiyparen
Posted

я вообще всегда сбрасываю конфиг перед настройкой! Вопрос в том, точно ли между портами в моем случае никакого трафика бегать не будет?

там скрип default есть если ты его не удаляешь то: 1 wan (dhcp - client), 2-5 (nat) (при этом порты 3-5 привязаны у 2-ому порту)

да, я про него в курсе и сразу же удаляю при первом включении

Share this post

Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
Followers 0
Go to topic listing Активное оборудование Ethernet, IP, MPLS, SDN/NFV...