Страница 1 из 2

Изолирование двух подсетей

Добавлено: 25 апр 2013, 17:35
ullquiorra
Поиском найти не смог, видимо совсем проблема глупая и мне должно быть стыдно, но я, что-то, никак не могу справиться.

Что мы имеем:
RB750 в роли домашнего роутера.
1 порт - WAN, 2 и 3 - бридж1, 4 и 5 - бридж2.
На бридже1 адрес 192.168.1.1, на бридже2 - 192.168.0.1.
Диашсипи сервера выдают соответственные настройки на каждый бридж.

Задача: изолировать первую подсеть от нулевой, без вланов, так, чтобы микротик натил один и тот же интернет на обе подсети, но не давал им между собой общаться через себя.

Чисто логически понятно, что нужно закрыть форвардинг бридж1 -> бридж2 и аналоично бридж2 -> бридж1. Bridge filter, по логике, позволяет реализовать такой фукционал. Но то ли я чего-то не так понял, то ли я синтаксически где-то промахнулся...

Знающие люди, не поделитесь скриншотом винбокса с реализацией такого фильтра?

Re: Изолирование двух подсетей

Добавлено: 25 апр 2013, 19:05
ullquiorra
Поиском не нашел, но покликав соседние темы, все-таки, смог по крупицам собрать нужную мне информацию.
В итоге реализовал не бридж-фильтром, а фаерволльным.

IP > Firewall > Address Lists
Создаем адресс-лист для 192.168.0.0/24 (я назвал local0)
Создаем адресс-лист для 192.168.1.0/24 (я назвал local1)

New Terminal
ip firewall filter add drop src-address-list=local0 dst-address-list=local1 chain=forward #дропаем пакеты из 192.168.0.0/24 в 192.168.1.0/24
ip firewall filter add drop src-address-list=local1 dst-address-list=local0 chain=forward #дропаем пакеты в обратном направлении

На выходе имеем две изолированные друг от друга подсетки :)

Re: Изолирование двух подсетей

Добавлено: 25 апр 2013, 21:37
plin2s
Я сделал то же самое, только без адрес-листа. Просто прописывал адреса сетей.

Re: Изолирование двух подсетей

Добавлено: 25 апр 2013, 22:31
ullquiorra
plin2s писал(а):Я сделал то же самое, только без адрес-листа. Просто прописывал адреса сетей.

Так даже правильнее, меньше костылей :)
Завтра буду на работе, тоже переделаю

Re: Изолирование двух подсетей

Добавлено: 26 апр 2013, 06:02
simpl3x
а еще можно попробовать через in-interface и out-interface

Re: Изолирование двух подсетей

Добавлено: 14 июн 2013, 13:22
ullquiorra
На роутер добавлена третья подсеть, которую так же необходимо изолировать.
Можно добавить еще 4 правила (2 на выход, 2 на вход в "0" и "1" подсети), но выглядит это уже как костыли.

Кому нибудь известен или пришел в голову более оптимальный выход из сложившейся ситуации?

Re: Изолирование двух подсетей

Добавлено: 15 июн 2013, 13:24
plin2s
Тогда правильнее будет задействовать vlan.

Re: Изолирование двух подсетей

Добавлено: 06 июл 2013, 17:28
r2d2
Можно подробнее по vlan?
Стоит задача как у автора - разделить сети на изолированные (eth1 - wan, eth2+eth3 - bridge1, eth4 - bridge2, eth5 - bridge3. Подсети 192.168.0.0/24, 192.168.1.0/24 и 192.168.2.0/24 соответственно), с общим выходом в интернет.

Re: Изолирование двух подсетей

Добавлено: 06 июл 2013, 19:04
plin2s
Ну, либо прочитает любую статью про vlan, либо сделайте как несколькими топиками выше (только правил получится не 2, а 6).

Re: Изолирование двух подсетей

Добавлено: 07 июл 2013, 09:08
r2d2
если не сложно, посоветуйте что нибудь. а то в wiki - общие моменты, а хотелось бы конкретной инструкции:)