+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Правила брандмауэра между двумя локальными сетями – как помочь?

Правила брандмауэра между двумя локальными сетями – как помочь?, RouterOS

patrickmkt

Guest

17.08.2012 05:13:00

Привет, у меня такая конфигурация: ether1-gateway: WAN 192.168.1.1/24, ether2-LANA: LAN A 192.168.20.1/24, ether3-LANB: LAN B 192.168.30.1/24.

По умолчанию нет доступа с WAN к каким-либо LAN, но каждая LAN может подключаться к другой LAN или к WAN.

Теперь я хочу изолировать обе LAN:
chain=forward action=drop in-interface=ether2-LANA out-interface=ether3-LANB
chain=forward action=drop in-interface=ether3-LANB out-interface=ether2-LANA

Вроде бы всё работает.

Теперь я хочу добавить два сервера в LAN A и два сервера в LAN B, которые должны быть доступны из обеих LAN. Я создал следующие правила перед предыдущими drop:

Address list: listA: server A1, A2; listB: server B1, B2.
chain=forward action=accept dst-address-list=listA in-interface=ether3-LANB out-interface=ether2-LANA
chain=forward action=accept dst-address-list=listB in-interface=ether2-LANA out-interface=ether3-LANB

Но это не работает, если не отключить правило drop. Я подумал, что, возможно, мне нужно добавить правило обратного пути для установленных и связанных соединений, и тогда я добавил:

chain=forward action=accept connection-state=established src-address-list=listA in-interface=ether2-LANA out-interface=ether3-LANB
chain=forward action=accept connection-state=related src-address-list=listA in-interface=ether2-LANA out-interface=ether3-LANB
chain=forward action=accept connection-state=established src-address-list=listB in-interface=ether3-LANB out-interface=ether2-LANA
chain=forward action=accept connection-state=related src-address-list=listB in-interface=ether3-LANB out-interface=ether2-LANA

Но всё равно не работает, возвращаемые пакеты всё ещё попадают под правило drop. Что я делаю не так здесь?

CelticComms

Guest

17.08.2012 13:57:00

Было бы полезно увидеть правила в контексте и в том порядке, в котором они устанавливаются — порядок имеет значение. Я бы посоветовал пересмотреть логику правил пересылки. Ваше последнее правило пересылки должно быть правилом "отбрасывать всё". Всё, что вы хотите пересылать, должно быть охвачено правилом "принимать" выше правила "отбрасывать всё". Иными словами, пересылка должна быть исключением, а отбрасывание — поведением по умолчанию.

patrickmkt

Guest

17.08.2012 14:27:00

Ладно, видимо, я не совсем понятно изъяснился в своём описании. Вот порядок моих правил: ;;; от A к B

chain=forward action=accept dst-address-list=listB in-interface=ether2-LANA out-interface=ether3-LANB
chain=forward action=accept connection-state=established src-address-list=listA in-interface=ether2-LANA out-interface=ether3-LANB
chain=forward action=accept connection-state=related src-address-list=listA in-interface=ether2-LANA out-interface=ether3-LANB
chain=forward action=drop in-interface=ether2-LANA out-interface=ether3-LANB

;;; from B to A
chain=forward action=accept dst-address-list=listA in-interface=ether3-LANB out-interface=ether2-LANA
chain=forward action=accept connection-state=established src-address-list=listB in-interface=ether3-LANB out-interface=ether2-LANA
chain=forward action=accept connection-state=related src-address-list=listB in-interface=ether3-LANB out-interface=ether2-LANA
chain=forward action=drop in-interface=ether3-LANB out-interface=ether2-LANA

;;; default configuration
chain=input action=accept protocol=icmp
chain=input action=accept connection-state=established
chain=input action=accept connection-state=related
chain=input action=drop in-interface=ether1-gateway но когда я пытаюсь подключиться к серверу из другой LAN, мое правило сброса блокирует весь возвратный трафик от сервера.

patrickmkt Guest	#4 0 26.08.2012 13:00:00 Никто?

Zavi Guest	#5 0 26.08.2012 20:01:00 Включен ли conntrack? Он нужен для правил "established" и "related".

patrickmkt

Guest

26.08.2012 20:43:00

Да, только что проверил. Наверное, тут я делаю что-то очевидно глупое, но не могу понять, что именно. Может, дело в каких-то установленных правилах? Адреса источника и назначения должны быть с точки зрения входящего трафика или по пути возврата? Может, я все перепутал? В вики я не нашел ни одного примера для такой простой конфигурации: блокировать весь трафик между двумя локальными сетями, кроме трафика к серверу с несколькими сервисами.

Zavi

Guest

26.08.2012 21:18:00

Похоже, я понял: ты разрешаешь установленные соединения, но для установления TCP-соединения уже нужна связь в обе стороны. Так что, думаю, тебе стоит разрешить весь трафик с сервера во вторую сеть, чтобы он мог ответить и установить соединение, а потом правило, разрешающее уже установленное соединение, не понадобится.

sirEgghead

Guest

28.08.2012 16:26:00

/ip firewall address-list add list="servers" address=192.168.20.100
/ip firewall address-list add list="servers" address=192.168.20.101
/ip firewall address-list add list="servers" address=192.168.30.100
/ip firewall address-list add list="servers" address=192.168.30.101

/ip firewall filter add comment="allow servers" disabled=no chain=forward src-address-list="servers" action=allow
/ip firewall filter add disabled=no chain=forward dst-address-list="servers" action=allow

/ip firewall filter add comment="dropLANa-LANb" disabled=no chain=forward in-interface=ether2-LANA out-interface=ether3-LANB action=drop
/ip firewall filter add comment="dropLANb-LANa" disabled=no chain=forward in-interface=ether3-LANB out-interface=ether2-LANA action=drop Поскольку правила "allow servers" идут первыми, соединения с серверами и с них разрешены, прежде чем проверяются правила блокировки. "Established" и "related" в данном случае не нужны. Так всё упрощается. Можно сузить правила доступа к серверам, если хотите. Например, добавив другой список адресов и изменив 2 правила "allow server", всё выглядело бы примерно так: /ip firewall address-list add list="LANs" address=192.168.20.0/24
/ip firewall address-list add list="LANs" address=192.168.30.0/24

/ip firewall filter add comment="allow servers" disabled=no chain=forward src-address-list="LANs" dst-address-list="servers" action=allow
/ip firewall filter add chain=forward src-address-list="servers" dst-address-list="LANs" action=allow Допустим, вы хотите разрешить доступ к серверам всем в обеих сетях LAN, за исключением компьютера, который используется исключительно для гостей. Назовем адрес этого гостевого компьютера 192.168.30.200. Вы можете добавить эти 2 правила блокировки выше ваших существующих правил разрешения: /ip firewall filter add comment="no guest access to server" disabled=no chain=forward src-address=192.168.30.200 dst-address-list="servers" action=drop
/ip firewall filter add disabled=no chain=forward dst-address=192.168.30.200 src-address-list="servers" action=drop Или вы можете объединить это с вашими существующими правилами фильтрации: /ip firewall filter add comment="allow servers" disabled=no chain=forward src-address-list="LANs" dst-address-list="servers" src-address=!192.168.30.200 action=allow
/ip firewall filter add disabled=no chain=forward src-address-list="servers" dst-address-list="LANs" dst-address=!192.168.30.200 action=allow Надеюсь, это поможет! Thomas

patrickmkt Guest	#9 0 29.08.2012 11:16:00 Спасибо. Это немного проясняет картину в моей голове.

sirEgghead Guest	#10 0 29.08.2012 13:41:00 Всё уладили?

rixon

Guest

#11

09.11.2012 12:39:00

Привет всем! У меня три отдельные LAN, и между ними запрещено взаимодействие пакетами по правилам файрвола. Хочу добавить исключение для двух серверов из этих двух отдельных LAN, чтобы они могли общаться друг с другом. Есть какие-нибудь предложения?

y0d4 Guest	#12 0 03.11.2013 00:04:00 Та же проблема у меня. Кто-нибудь может помочь?

CTrain

Guest

#13

10.11.2013 01:52:00

Как указано выше, вам потребуется правило, которое позволит серверам взаимодействовать со всеми локальными сетями, правило, которое позволит всем локальным сетям взаимодействовать с серверами, и, наконец, правило, которое отбрасывает все пакеты, не соответствующие этим правилам. Правило отбрасывания должно быть последним.

y0d4 Guest	#14 0 10.11.2013 15:14:00 Я решил эту проблему так: http://forum.mikrotik.com/t/port-forwarding-by-ip/71189/1

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры