+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Самое быстрое правило файрвола для блокировки трафика с нескольких LAN-сетей?

Самое быстрое правило файрвола для блокировки трафика с нескольких LAN-сетей?, RouterOS

43north Guest	#1 0 19.04.2015 03:30:00 Итак, у меня настроено несколько разных LAN на моём Tik. Если я не хочу, чтобы какие-либо из LAN видели друг друга, какое самое быстрое правило Firewall для этого?

43north Guest	#2 0 17.05.2015 04:23:00 Напомню?

BartoszP

Guest

17.05.2015 07:35:00

Поскольку вы не даёте никаких подсказок о том, как настроены ваши локальные сети, самый быстрый способ — добавить action=drop chain=forward comment="BLOCK: ANY INTERFACE", но при этом вам придётся вручную разрешить трафик для WAN и других интерфейсов.

pukkita

Guest

17.05.2015 09:41:00

Если они не находятся на мосту, стоит воспользоваться правилами фильтрации фаервола, как указал BartosZ. Если же они на мосту, нужно установить одинаковое значение horizon на портах моста, которые не должны между собой общаться.

BartoszP Guest	#5 0 17.05.2015 10:35:00 Так вы полностью изолируете интерфейсы, и никакой возможности разрешить конкретный трафик не будет, но признаю — это быстрое и простое решение.

ZeroByte Guest	#6 0 17.05.2015 14:37:00 Вот несколько идей: Вот мой рекомендованный вариант. Если у вас только один WAN-интерфейс, то цепочка forward в таблице фильтрации должна выглядеть так: - allow established,related (без указания интерфейсов и адресов — просто разрешить всё, что уже было разрешено) - allow out-interface=wan1 - deny all Это простой набор из трёх правил, который позволит любому количеству LAN получить доступ в интернет, но заблокирует доступ между ними. Позже вы можете добавить больше LAN, и не придётся менять эти правила — они автоматически сработают и для новых LAN. Если вы добавите второй WAN для резервирования, балансировки нагрузки, политики маршрутизации или чего-то ещё, просто вставьте перед deny all ещё одно правило: allow out-interface=wan2. Если хотите разрешить входящие подключения к внутренним адресам (NAT-пробросы), то разрешайте их до deny all, но после allow established,related, например: allow protocol=tcp, dst-port=80 in-interface=wan1 Если в качестве адресов LAN вы используете 192.168.x.0/24, то можно фильтровать по ним так: allow established,related deny src-address=192.168.0.0/16 dst-address=192.168.0.0/16 Я предпочитаю использовать названия интерфейсов, а не адреса. LAN подключен к конкретному интерфейсу — всё, что «этим путём», это LAN, и для него должны действовать LAN-правила. Зачем тогда сравнивать адреса? Так вы можете менять IP-адресацию или добавлять маршруты через какой-то шлюз в сторону LAN — и политика будет работать всегда. Даже поддельные IP-адреса подчинятся этим правилам, ведь адрес значения не имеет.

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры