Информация
Услуги
  • Внедрение
  • Настройка
  • Поддержка
  • Ремонт
Контакты
Новинка
Распродажа
Новости
Доставка
Оплата
Загрузки
  • Прошивки
    • WinBox
    • RouterOS
    • Мобильные приложения MikroTik
    • Архив
  • Changelogs
  • RouterOS
  • Мобильные приложения MikroTik
  • Архив
Форум
Настройка
    info@mikrotik.moscow
    +7 495 320-55-52
    Заказать звонок
    Mikrotik.moscow
    Каталог
    • Акции
      Акции
    • Маршрутизаторы
      Маршрутизаторы
    • Коммутаторы
      Коммутаторы
    • Радиомосты и уличные точки доступа
      Радиомосты и уличные точки доступа
    • Wi-Fi для дома и офиса
      Wi-Fi для дома и офиса
    • LTE/5G
      LTE/5G
    • Powerline адаптеры
      Powerline адаптеры
    • IoT устройства
      IoT устройства
    • Оборудование 60 ГГц
      Оборудование 60 ГГц
    • Материнские платы RouterBOARD
      Материнские платы RouterBOARD
    • Корпуса
      Корпуса
    • Интерфейсы
      Интерфейсы
    • SFP/QSFP трансиверы
      SFP/QSFP трансиверы
    • Аксессуары
      Аксессуары
    • Антенны
      Антенны
    • Архив
      Архив
    Войти
    0 Сравнение
    0 Избранное
    0 Корзина
    Скачать WinBox Скачать Прошивки Форум > RouterOS Форум > SwOS Форум > Железо
    Mikrotik.moscow
    Каталог
    Войти
    0 Сравнение
    0 Избранное
    0 Корзина
    Mikrotik.moscow
    Телефоны
    +7 495 320-55-52
    Заказать звонок
    0
    0
    0
    Mikrotik.moscow
    • +7 495 320-55-52
      • Назад
      • Телефоны
      • +7 495 320-55-52
      • Заказать звонок
    • info@mikrotik.moscow
    • г. Москва, ул. Бакунинская, 84
    • Пн-Пт: 09-00 до 18-00
      Сб-Вс: выходной


    • Кабинет
    • 0 Сравнение
    • 0 Избранное
    • 0 Корзина
    Главная
    Форум
    RouterOS
    Отключить LAN-LAN bridge, оставив только один?

    Отключить LAN-LAN bridge, оставив только один?

    Форумы: RouterOS, Аппаратное обеспечение, SwOS, Обратная связь, Объявления, Сторонние инструменты
    Поиск  Пользователи  Правила  Войти
    Страницы: 1
    RSS
    Отключить LAN-LAN bridge, оставив только один?, RouterOS
     
    GlueGuy
    Guest
    #1
    0
    10.04.2007 15:20:00
    Привет, у нас есть RB532a с тремя портами Ethernet: WAN, LAN1 и LAN2. WAN подключен к публичному интернету, LAN1 – это внутренняя, приватная сеть, а LAN2 – "гостевая" сеть. Желаемый результат – предоставить гостевой (LAN2) сети доступ к WAN, но не к LAN1, за исключением одного компьютера в LAN2, которому нужно будет туннелироваться в LAN1. Сейчас кажется, что LAN1 и LAN2 соединены в bridge. Похоже, что простого правила фильтра будет достаточно, чтобы пропустить этот компьютер в LAN1, но подходящего примера найти не удается.

    Маршруты настроены следующим образом:

    `#     DST-ADDRESS        PREF-SRC        G GATEWAY         DISTANCE INTERFACE
    0     ADC 1.2.3.0/24         1.2.3.22                                   WAN
    1     ADC 192.168.2.0/24     192.168.2.1                                LAN1
    2     DC 10.1.1.0/24        10.1.1.1                                   LAN2
    3  A S 0.0.0.0/0                          r 1.2.3.1                  WAN`

    А правила брандмауэра примерно такие:

    `[admin@R1] > ip firewall filter print
    Flags: X - disabled, I - invalid, D - dynamic`

    `0   ;;; Drop Invalid connections
        chain=input connection-state=invalid action=drop

    1   ;;; Allow Established connections
        chain=input connection-state=established action=accept

    2   ;;; Allow UDP
        chain=input protocol=udp action=accept

    3   ;;; Allow ICMP
        chain=input protocol=icmp action=accept

    4   ;;; Allow access to router from known network
        chain=input in-interface=!WAN action=accept

    5   ;;; Drop anything else
        chain=input action=drop

    6   ;;; drop invalid connections
        chain=forward protocol=tcp connection-state=invalid action=drop

    7   ;;; allow already established connections
        chain=forward connection-state=established action=accept

    8   ;;; allow related connections
        chain=forward connection-state=related action=accept

    9   chain=forward src-address=0.0.0.0/8 action=drop

    10   chain=forward dst-address=0.0.0.0/8 action=drop

    11   chain=forward src-address=127.0.0.0/8 action=drop

    12   chain=forward dst-address=127.0.0.0/8 action=drop

    13   chain=forward src-address=224.0.0.0/3 action=drop

    14   chain=forward dst-address=224.0.0.0/3 action=drop

    15   chain=forward protocol=tcp action=jump jump-target=tcp

    16   chain=forward protocol=udp action=jump jump-target=udp

    17   chain=forward protocol=icmp action=jump jump-target=icmp

    18   ;;; deny TFTP
        chain=tcp protocol=tcp dst-port=69 action=drop

    19   ;;; deny RPC portmapper
        chain=tcp protocol=tcp dst-port=111 action=drop

    20   ;;; deny RPC portmapper
        chain=tcp protocol=tcp dst-port=135 action=drop

    21   ;;; deny NBT
        chain=tcp protocol=tcp dst-port=137-139 action=drop

    22   ;;; deny cifs
        chain=tcp protocol=tcp dst-port=445 action=drop

    23   ;;; deny NFS
        chain=tcp protocol=tcp dst-port=2049 action=drop

    24   ;;; deny NetBus
        chain=tcp protocol=tcp dst-port=12345-12346 action=drop

    25   ;;; deny NetBus
        chain=tcp protocol=tcp dst-port=20034 action=drop

    26   ;;; deny BackOriffice
        chain=tcp protocol=tcp dst-port=3133 action=drop

    27   ;;; deny DHCP
        chain=tcp protocol=tcp dst-port=67-68 action=drop

    28   ;;; deny TFTP
        chain=udp protocol=udp dst-port=69 action=drop

    29   ;;; deny PRC portmapper
        chain=udp protocol=udp dst-port=111 action=drop

    30   ;;; deny PRC portmapper
        chain=udp protocol=udp dst-port=135 action=drop

    31   ;;; deny NBT
        chain=udp protocol=udp dst-port=137-139 action=drop

    32   ;;; deny NFS
        chain=udp protocol=udp dst-port=2049 action=drop

    33   ;;; deny BackOriffice
        chain=udp protocol=udp dst-port=3133 action=drop

    34   ;;; drop invalid connections
        chain=icmp protocol=icmp icmp-options=0:0 action=accept

    35   ;;; allow established connections
        chain=icmp protocol=icmp icmp-options=3:0 action=accept

    36   ;;; allow already established connections
        chain=icmp protocol=icmp icmp-options=3:1 action=accept

    37   ;;; allow source quench
        chain=icmp protocol=icmp icmp-options=4:0 action=accept

    38   ;;; allow echo request
        chain=icmp protocol=icmp icmp-options=8:0 action=accept

    39   ;;; allow time exceed
        chain=icmp protocol=icmp icmp-options=11:0 action=accept

    40   ;;; allow parameter bad
        chain=icmp protocol=icmp icmp-options=12:0 action=accept

    41   ;;; deny all other types
        chain=icmp action=drop
     
     
     
    GlueGuy
    Guest
    #2
    0
    11.04.2007 15:08:00
    Пока кто-то не объяснил мне разницу между разными цепями – INPUT, OUTPUT и FORWARD – я вообще не понимал, как это работает (спасибо отнюдь не этому форуму). Для таких же в шоке, как я, очень помогает знать, что вышеупомянутые цепи работают так: INPUT = трафик, идущий НА MikroTik, OUTPUT = трафик, идущий ИЗ MikroTik, FORWARD = трафик, проходящий ЧЕРЕЗ MikroTik.

    Поэтому, простой способ управления этим, и предполагая, что зашифрованный туннель не требуется, — это явно разрешить один компьютер в LAN2 в LAN1 через:

    add chain=forward src-address=10.1.1.X out-interface=LAN1 action=accept

    Затем заблокировать любые другие пакеты, идущие из LAN2 в LAN1:

    add chain=forward in-interface=LAN2 out-interface=LAN1 action=drop

    Я разместил эти правила фильтрации в списке forward после правила, разрешающего существующие подключения. Так что, ранее перечисленные правила forward теперь выглядят так:

    6   ;;; drop invalid connections
       chain=forward protocol=tcp connection-state=invalid action=drop

    7   ;;; allow already established connections
       chain=forward connection-state=established action=accept

    8   ;;; ;;; specifically allow our special computer on the guest LAN
       add chain=forward src-address=10.1.1.X out-interface=LAN1 action=accept

    9   ;;; drop any other guest LAN access to the private LAN
       add in-interface=LAN2 out-interface=LAN1 action=drop

    10  ;;; allow related connections
       chain=forward connection-state=related action=accept

    11   chain=forward src-address=0.0.0.0/8 action=drop

    12   chain=forward dst-address=0.0.0.0/8 action=drop

    13   chain=forward src-address=127.0.0.0/8 action=drop

    14   chain=forward dst-address=127.0.0.0/8 action=drop

    15   chain=forward src-address=224.0.0.0/3 action=drop

    16   chain=forward dst-address=224.0.0.0/3 action=drop

    17   chain=forward protocol=tcp action=jump jump-target=tcp

    18   chain=forward protocol=udp action=jump jump-target=udp

    19   chain=forward protocol=icmp action=jump jump-target=icmp

    Конечно, это не исключает настройки какого-нибудь зашифрованного туннеля.
     
     
     
    Страницы: 1
    Читают тему
    +7 495 320-55-52
    info@mikrotik.moscow
    Электрозаводская, Бауманская
    Москва, ул. Бакунинская, 84с21
    Конфиденциальность Оферта
    © 2025 «Mikrotik.Moscow»
    Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры