Страница 1 из 2

две независимые сети на RB951-2n

Добавлено: 03 янв 2013, 20:00
dkarapetian
Добрый день!
У есть вопрос по поводу того как создать две независимые сети на RB951-2n.
Задача такая:
1. WAN порт в него заходит Интернет
2. Порт 1 сеть 192.168.0.0/24
3. Порт 2 сеть 192.168.1.0/24
Задача в том что нужно их так разделит чтоб две сети друг друга не виделибы и не пинговались бы, но при этом на каждом из них был бы интернет.

Я долго сучаюсь и чтот не получается, не могли бы помочь?

Re: две независимые сети на RB951-2n

Добавлено: 03 янв 2013, 21:25
podarok66

Re: две независимые сети на RB951-2n

Добавлено: 03 янв 2013, 22:55
dkarapetian
podarok66 писал(а):http://mikrotik.ru/forum/viewtopic.php?f=1&t=2165
viewtopic.php?f=1&t=2073



Спасибо за ответ , я все посмотрел но мой вариант не вышел
может есть другие варианты?? Пакеты все равно бегают

Re: две независимые сети на RB951-2n

Добавлено: 03 янв 2013, 23:02
simpl3x
вы не верно указали chain,
input - это то что обращено к самому микротику, к его сервисам и прочему.
в случае если вы хотите ограничить передачу между сетями вам надо использоваться chain=forward

Re: две независимые сети на RB951-2n

Добавлено: 03 янв 2013, 23:12
dkarapetian
simpl3x писал(а):вы не верно указали chain,
input - это то что обращено к самому микротику, к его сервисам и прочему.
в случае если вы хотите ограничить передачу между сетями вам надо использоваться chain=forward



Ок вышло! при попытке отправить запрос: Я получаю что надо

Pinging 192.168.0.4 with 32 bytes of data:
Request timed out.

НО при отправке запроса на

Pinging 192.168.0.1 with 32 bytes of data:
Reply from 192.168.0.1: bytes=32 time<1ms TTL=64
Reply from 192.168.0.1: bytes=32 time<1ms TTL=64
Reply from 192.168.0.1: bytes=32 time<1ms TTL=64


задача в том что даже на главный ИП адрес но должен идти сигнал

Re: две независимые сети на RB951-2n

Добавлено: 03 янв 2013, 23:22
simpl3x
ну значит надо добавить два правила:

Код: Выделить всё

chain=input src-address=192.168.0.0/24 dst-address=192.168.1.1 action=drop
chain=input src-address=192.168.1.0/24 dst-address=192.168.0.1 action=drop


и прочитать для начала http://wiki.mikrotik.com/wiki/Firewall чтобы отбить 99% вопросов.

Re: две независимые сети на RB951-2n

Добавлено: 03 янв 2013, 23:34
dkarapetian
simpl3x писал(а):ну значит надо добавить два правила:

Код: Выделить всё

chain=input src-address=192.168.0.0/24 dst-address=192.168.1.1 action=drop
chain=input src-address=192.168.1.0/24 dst-address=192.168.0.1 action=drop


и прочитать для начала http://wiki.mikrotik.com/wiki/Firewall чтобы отбить 99% вопросов.


Не вышло все равно основные адреса видят друг друга не заботает остальная сеть
Может чтото у меня нетак настроенно?

Re: две независимые сети на RB951-2n

Добавлено: 03 янв 2013, 23:41
simpl3x
dkarapetian писал(а):Не вышло все равно основные адреса видят друг друга не заботает остальная сеть
Может чтото у меня нетак настроенно?

не понял, что значит основные адреса видят друг друга?
откуда и что вы пингуете?
идите в New Terminal, там команду

Код: Выделить всё

 ip firewall filter print

и выход сюда.

Re: две независимые сети на RB951-2n

Добавлено: 03 янв 2013, 23:51
dkarapetian
simpl3x писал(а):
dkarapetian писал(а):Не вышло все равно основные адреса видят друг друга не заботает остальная сеть
Может чтото у меня нетак настроенно?

не понял, что значит основные адреса видят друг друга?
откуда и что вы пингуете?
идите в New Terminal, там команду

Код: Выделить всё

 ip firewall filter print

и выход сюда.



[admin@MikroTik] > ip firewall filter print
Flags: X - disabled, I - invalid, D - dynamic
0 ;;; default configuration
chain=input action=accept protocol=icmp

1 ;;; default configuration
chain=input action=accept connection-state=established

2 ;;; default configuration
chain=input action=accept connection-state=related

3 ;;; WinBox Remote Access
chain=input action=accept protocol=tcp dst-port=8291

4 ;;; default configuration
chain=input action=drop in-interface=Internet

5 chain=forward action=drop src-address-list=Wi-Fi dst-address-list=LAN

6 chain=forward action=drop src-address-list=LAN dst-address-list=Wi-Fi
[admin@MikroTik] >

Re: две независимые сети на RB951-2n

Добавлено: 03 янв 2013, 23:58
simpl3x

Код: Выделить всё

0 ;;; default configuration
chain=input action=accept protocol=icmp

у вас самым первым правилом стоит разрешение на протокол icmp (ping и т.п.) входящие к самому микротику отовсюду. так что чтобы вы не запрещали ниже, ему на это откровенно все равно.
запомните самое главное правило, во всех фаерволах правила читаются сверху вниз, как только пакет попадающий в мтик находит соответствие в этом списке, в этом порядке, он из него вылетает и дальше соответствие не ищется (в общем случае, без использования jump). так и у вас, первым же правилом у вас разрешен пинг к любому из адресов мтика, и запрещаться дальше оно не будет.

и это все что у вас там?

и что откуда вы пингуете?
настраживает фраза "основные адреса видят друг друга"!