Интерфейс только для управления

Обсуждение ПО и его настройки
Ответить
Scorpion15
Сообщения: 3
Зарегистрирован: 17 авг 2015, 20:08

Добрый день!
Подскажите как можно сделать что бы допустим интерфейс 5 был только для управления, что бы нельзя было попасть в подсеть интерфейса 5 и главное, что бы управлять роутером можно было только с этого интерфейса даже по mac адресу?


Аватара пользователя
podarok66
Модератор
Сообщения: 4351
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

Вы уверены, что хотите такого? А то ведь потом расхлебывать придется Вам... Паранойя - штука, требующая точности в действиях и глубокой продуманности оных.
1. Интерфейсу отдельный адрес из другой подсети. На машинке админа придется прописать адрес из той же подсети.
2. Запрет хождения трафика между подсетями, можно фаерволом, можно и маршрутами.
3. В фаерволе в цепочке input запрещаем пакеты ото всюду, кроме тех, кто идет с этого интерфейса. (ВНИМАНИЕ! Если действия неверны, можно потерять доступ к железке. Придется сбрасывать до дефолта. Без заранее запасенного бэкапа не стоит и приступать.)
Я не параноик, парочка поспешных и опрометчивых шагов излечили от нее начисто.


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
Scorpion15
Сообщения: 3
Зарегистрирован: 17 авг 2015, 20:08

Спасибо за совет, но все же:
Можно по подробнее по 3 пункту?


Аватара пользователя
podarok66
Модератор
Сообщения: 4351
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

Код: Выделить всё

/ip firewall filter add chain=input in-interface=!ether10 action=drop

Как-то так, наверное. Но я за последствия не отвечаю... :-)
in-interface=!ether10 - тот интерфейс, который нужно оставить в доступе


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
Scorpion15
Сообщения: 3
Зарегистрирован: 17 авг 2015, 20:08

)) Так тогда заблочиться на всех интерфейсах инпут, а мне надо что бы интернет работал и локальная сеть, НО управление роутером, только с одного интерфейса. Может это можно как то задать?


Аватара пользователя
podarok66
Модератор
Сообщения: 4351
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

Читаем про цепочки input, forward и output, какая и куда.
Читаем про правила фаервола и что означает восклицательный знак в правилах.
Читаем форум, тут всё обсосали и облизали.
Без этого минимума дальнейшая беседа бессмысленна.


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

Чего ты удивляешься то? Паранойя она от незнания обычно )))


Есть интересная задача и бюджет? http://mikrotik.site
Аватара пользователя
podarok66
Модератор
Сообщения: 4351
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

Ну ты же знаешь, я стараюсь максимально корректно писать рекомендации. И должен озвучить своё несогласие с намерениями ТС именно исходя из своей политики. Это даже не удивление, а скорее своеобразная попытка отговорить от подобных мер без должных знаний.
С тобой разговор для меня проще и предметнее. Тем более что я в твоём случае я спрашиваю, а не отвечаю... :-)


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
Ответить