Добрый день!
Подскажите как можно сделать что бы допустим интерфейс 5 был только для управления, что бы нельзя было попасть в подсеть интерфейса 5 и главное, что бы управлять роутером можно было только с этого интерфейса даже по mac адресу?
Интерфейс только для управления
- podarok66
- Модератор
- Сообщения: 4361
- Зарегистрирован: 11 фев 2012, 18:49
- Откуда: МО
Вы уверены, что хотите такого? А то ведь потом расхлебывать придется Вам... Паранойя - штука, требующая точности в действиях и глубокой продуманности оных.
1. Интерфейсу отдельный адрес из другой подсети. На машинке админа придется прописать адрес из той же подсети.
2. Запрет хождения трафика между подсетями, можно фаерволом, можно и маршрутами.
3. В фаерволе в цепочке input запрещаем пакеты ото всюду, кроме тех, кто идет с этого интерфейса. (ВНИМАНИЕ! Если действия неверны, можно потерять доступ к железке. Придется сбрасывать до дефолта. Без заранее запасенного бэкапа не стоит и приступать.)
Я не параноик, парочка поспешных и опрометчивых шагов излечили от нее начисто.
1. Интерфейсу отдельный адрес из другой подсети. На машинке админа придется прописать адрес из той же подсети.
2. Запрет хождения трафика между подсетями, можно фаерволом, можно и маршрутами.
3. В фаерволе в цепочке input запрещаем пакеты ото всюду, кроме тех, кто идет с этого интерфейса. (ВНИМАНИЕ! Если действия неверны, можно потерять доступ к железке. Придется сбрасывать до дефолта. Без заранее запасенного бэкапа не стоит и приступать.)
Я не параноик, парочка поспешных и опрометчивых шагов излечили от нее начисто.
Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
-
- Сообщения: 3
- Зарегистрирован: 17 авг 2015, 20:08
Спасибо за совет, но все же:
Можно по подробнее по 3 пункту?
Можно по подробнее по 3 пункту?
- podarok66
- Модератор
- Сообщения: 4361
- Зарегистрирован: 11 фев 2012, 18:49
- Откуда: МО
Код: Выделить всё
/ip firewall filter add chain=input in-interface=!ether10 action=drop
Как-то так, наверное. Но я за последствия не отвечаю...
in-interface=!ether10 - тот интерфейс, который нужно оставить в доступе
Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
-
- Сообщения: 3
- Зарегистрирован: 17 авг 2015, 20:08
)) Так тогда заблочиться на всех интерфейсах инпут, а мне надо что бы интернет работал и локальная сеть, НО управление роутером, только с одного интерфейса. Может это можно как то задать?
- podarok66
- Модератор
- Сообщения: 4361
- Зарегистрирован: 11 фев 2012, 18:49
- Откуда: МО
Читаем про цепочки input, forward и output, какая и куда.
Читаем про правила фаервола и что означает восклицательный знак в правилах.
Читаем форум, тут всё обсосали и облизали.
Без этого минимума дальнейшая беседа бессмысленна.
Читаем про правила фаервола и что означает восклицательный знак в правилах.
Читаем форум, тут всё обсосали и облизали.
Без этого минимума дальнейшая беседа бессмысленна.
Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
-
- Модератор
- Сообщения: 3605
- Зарегистрирован: 26 сен 2013, 14:20
- Откуда: НСК
- Контактная информация:
Чего ты удивляешься то? Паранойя она от незнания обычно )))
Есть интересная задача и бюджет? http://mikrotik.site
- podarok66
- Модератор
- Сообщения: 4361
- Зарегистрирован: 11 фев 2012, 18:49
- Откуда: МО
Ну ты же знаешь, я стараюсь максимально корректно писать рекомендации. И должен озвучить своё несогласие с намерениями ТС именно исходя из своей политики. Это даже не удивление, а скорее своеобразная попытка отговорить от подобных мер без должных знаний.
С тобой разговор для меня проще и предметнее. Тем более что я в твоём случае я спрашиваю, а не отвечаю...
С тобой разговор для меня проще и предметнее. Тем более что я в твоём случае я спрашиваю, а не отвечаю...
Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...