+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Как заблокировать трафик между VLAN?

Как заблокировать трафик между VLAN?, RouterOS

sebastian001

Guest

23.01.2015 12:00:00

Привет, у меня возникли проблемы с межвлановой связью. У меня есть VLAN с ID 10 и 20. Я хочу, чтобы VLAN 10 имел доступ к VLAN 20, а VLAN 20 не имел доступа к VLAN 10. Я могу заблокировать весь трафик между ними через правила файрвола или маршрутизации, но не могу настроить именно так, как описал: VLAN 10 → может заходить в VLAN 20 и в интернет, VLAN 20 → не может заходить в VLAN 10, но может заходить в интернет.

pratamaputra87

Guest

28.09.2016 07:39:00

Всем привет! Я новичок в сетевых технологиях, но сейчас разбираюсь с MikroTik. У меня похожая проблема. Есть две сети, подключённые к ether1 и ether2. Мне нужно, чтобы сеть на ether1 имела доступ в интернет, но не могла подключаться к сети на ether2. Сеть на ether2 должна иметь доступ в интернет и к сети на ether1.

Правка: решил проблему, попробовав следующий метод, но только с использованием интерфейсов:

add chain=forward in-interface=eth2
add chain=forward connection-state=established,related in-interface=eth1
add action=drop chain=forward in-interface=eth1 out-interface=eth2

carfog81 Guest	#3 0 03.11.2016 22:03:00 Так же, как и sebastian001, как мне дать доступ к принтеру в VLAN 10 пользователям из VLAN 20?

edwinoliva

Guest

13.12.2016 20:07:00

Всем привет! Я перепробовал все методы отсюда, на RB751 с архитектурой mipsbe всё работает, но когда я попытался заблокировать на RB3011 Arm, эти правила блокируют ICMP, но, например, доступ к любому сайту с другой стороны всё равно остаётся возможным. В чём может быть проблема? Я уже обновил RouterOS до версии 6.37.3 и прошивку до 3.35. Буду благодарен за помощь! Спасибо!

ovidiu

Guest

03.02.2018 11:55:00

Моя vlan2 предназначена для гостей Wi-Fi. Но им нужно иметь доступ к публичным NAT-портам, поэтому я заблокировал маршрутизацию, но разрешил NAT между двумя сетями.

add chain=forward action=drop comment="Блокировать доступ гостей к LAN" connection-nat-state=!srcnat,dstnat dst-address=192.168.0.0/24 src-address=10.1.102.0/24

Mozah

Guest

30.08.2018 09:23:00

Привет, у меня Mikrotik RB951 как шлюзовый роутер и DHCP-сервер, затем транк на коммутатор Catalyst 2960 Series… настроил 6 VLAN (100-600), и серверы находятся в VLAN-100. Я следовал рекомендациям Docmarius и добавил вот такую строку, выделенную красным: «add action=accept chain=forward comment=2>1 dst-address-list=100 src-address-list=200» (я добавил адрес назначения, так как с источником одному не работало). Мне удалось отфильтровать трафик между VLAN-ами: все VLAN-ы могут обращаться к VLAN-100 и выходить в интернет, но не видят друг друга, как я и планировал.

Ниже привожу конфигурации, посмотрите, может где-то излишества.

[ip firewall address-list]
add address=10.5.51.0/24 list=100
add address=10.5.53.0/24 list=300
add address=10.5.54.0/24 list=400
add address=10.5.55.0/24 list=500
add address=10.5.52.0/24 list=200
add address=10.5.56.0/24 list=600

[ip firewall filter]
add action=accept chain=forward comment=“Accept traffic from VLAN subnets to WAN” out-interface=ether4-Gateway
add action=accept chain=forward comment=2>1 dst-address-list=100 src-address-list=200
add action=accept chain=forward comment=2<>1 connection-state=established,related src-address-list=100
add action=accept chain=forward comment=3>1 dst-address-list=100 src-address-list=300
add action=accept chain=forward comment=3<>1 connection-state=established,related src-address-list=100
add action=accept chain=forward comment=4>1 dst-address-list=100 src-address-list=400
add action=accept chain=forward comment=4<>1 connection-state=established,related src-address-list=100
add action=accept chain=forward comment=5>1 dst-address-list=100 src-address-list=500
add action=accept chain=forward comment=5<>1 connection-state=established,related src-address-list=100
add action=accept chain=forward comment=6>1 dst-address-list=100 src-address-list=600
add action=accept chain=forward comment=6<>1 connection-state=established,related src-address-list=100
add action=drop chain=forward dst-address=10.5.54.0/24 src-address=10.5.52.0/24
add action=reject chain=forward comment=“Block Communication between all VLAN subnets” reject-with=icmp-net-prohibited src-address=10.5.52.1-10.5.255.255

mkx

Guest

30.08.2018 12:30:00

У тебя есть 6 одинаковых правил для принятия установленного и связанного трафика с src-address-list=100 — отличаются только комментарии. Все, кроме первого (с комментарием 2<>1), не получают ни одного срабатывания. Правило add action=drop chain=forward dst-address=10.5.54.0/24 src-address=10.5.52.0/24 разрешает соединения с VLAN200 на VLAN400 (но сформулировано иначе, чем остальные правила, которые разрешают доступ к VLAN100 со всех других VLAN — там используются списки адресов), а вот похожего правила, которое разрешает ответы, нет. Либо убери это правило, либо создай дополнительное правило, которое будет принимать установленный и связанный трафик с VLAN200 на VLAN400.

anav

Guest

26.02.2020 18:32:00

Как же этот тред так раскрутился, ха-ха! Учтите, что на самом деле нужны только стандартные правила файрвола... Из настроек Default firewall rule на любом роутере MT:
Forward chain (стандартные правила)
fasttrack allow established, related (нужна только одна такая запись в forward chain)
drop invalid packets
Пользовательские правила (предположим, что есть три VLAN — 10, 20, 30):
- разрешить VLAN 10 выход в интернет
- разрешить VLAN 20 выход в интернет
- разрешить пользователям VLAN 20 доступ к общему принтеру в VLAN 10 (например, из подсети VLAN на один IP)
- разрешить администратору (в VLAN 30) доступ ко всем остальным VLAN 10, 20
- разрешить администратору выход в интернет (один IP в VLAN 30)
Последнее правило — DROP ALL ELSE
Готово. VLAN (все на одном мосту) по своей структуре блокируют помехи на уровне Layer 2. Правила файрвола блокируют или позволяют «перекличку» в зависимости от пользовательских правил уже на уровне Layer 3 (маршрутизация).

jerryroy1 Guest	#9 0 29.02.2020 18:59:00 Кто может поделиться правилами, которые отключают трафик между портами без использования VLAN?

anav

Guest

#10

29.02.2020 19:47:00

Предоставьте схему, чтобы мы могли понять, какую сеть вы хотите создать, а затем опишите некоторые требования — чего вы хотите достичь с вашей сетью в плане пользователей (без обсуждения конфигурации оборудования). Иначе вопрос получается слишком расплывчатым…

eidigii Guest	#11 0 15.09.2015 02:29:00 У меня похожая проблема, которую я не смог решить с помощью предложенного решения. У меня есть 5 VLAN: vlan100 — этот VLAN должен иметь доступ ко всем остальным плюс к интернету vlan10 и vlan20 — эти должны иметь доступ только к vlan100 и интернету (не к vlan30 и vlan40) vlan30 и vlan40 — эти должны иметь доступ только к интернету Буду очень благодарен за любую помощь! Редактирование://Разобрался

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры