Russian Users MikroTik | Форум пользователей MikroTik

Форум поддержи и обмена опытом пользователей оборудования RouterBOARD и операционной системы RouterOS Латвийского производителя MikroTik
https://forummikrotik.ru/

изоляция подсетей и маршрутизация избранных хостов

https://forummikrotik.ru/viewtopic.php?t=6572

Страница 5 из 7

Re: изоляция подсетей и маршрутизация избранных хостов

Добавлено: 16 фев 2016, 21:36
vqd
Ну вот же был пример

add action=drop chain=forward dst-address=192.168.1.0/24 src-address=192.168.77.0/24

А что бы в этом правиле исключение добавить вкорячиваем соответствующий адрес лист вдогонку

Сейчас поздно уже и потому пример лень делать, ели ни кто не сделает то состряпаю сутра )))

Re: изоляция подсетей и маршрутизация избранных хостов

Добавлено: 17 фев 2016, 08:17
vqd
Ну собственно как и обещал.
Возьмем задачу и что бы было не все так просто ее же немного усложним

Имеем
Сеть А - 192.168.0.0/24
Сеть Б - 192.168.1.0/24

Задача
Полностью изолировать обе сети кроме устройство из сети А с ИП - 192.168.0.100 которое должно спокойно работать ТОЛЬКО с устройством в сети Б ИП - 192.168.1.200
Устройство из сети Б - ИП 192.168.1.200 доступа в сеть А не имеет в том числе и до 192.168.0.100

Вот так вот. В головах начинает возникать либо портянка правил либо пустота ))) Сделаем это все 2-мя правилами в фильтрах

А понадобится там вот эта статья в викии http://wiki.mikrotik.com/wiki/Manual:IP ... Properties
конкретно

connection-state (estabilished | invalid | new | related; Default: )
established - a packet which belongs to an existing connection
invalid - a packet which could not be identified for some reason
new - the packet has started a new connection, or otherwise associated with a connection which has not seen packets in both directions.
related - a packet which is related to, but not part of an existing connection, such as ICMP errors or a packet which begins FTP data connection


Получаем:

Код: Выделить всё

/ip firewall address-list
add address=192.168.0.100 list=no_filterA
add address=192.168.1.200 list=no_filterB

/ip firewall filter
add action=drop chain=forward connection-state=new dst-address=192.168.0.0/24 src-address=192.168.1.0/24 src-address-list=!no_filterA dst-address-list=!no_filterB
add action=drop chain=forward connection-state=new dst-address=192.168.1.0/24 src-address=192.168.0.0/24


Можно в принципе использовать 1 адрес лист но может возникнуть каша
Можно еще сократить и в одну строчку сделать но кривовато будет

Поясняю:
Когда устройство с адресом 192.168.0.100 ломится в сеть Б оно попадает в исключение src-address-list=!no_filterA но блокируется src-address-list=!no_filterB
Когда устройство с адресом 192.168.0.100 ломится до 192.168.1.200 до блокировки не происходит и диалог устанавливается ибо ответы от 192.168.1.200 не соответствуют ни одному правилу
Когда устройство с адресом 192.168.1.200 ломится в сеть А до все его запросы попадают под второй фильтр и соединение не устанавливается.

Теперь немного покритикую вариант с
add action=drop chain=forward dst-address=192.168.1.0/24 src-address=192.168.77.0/24

Да оно внешне работать будет, то-есть все попытки соединится из сети 192.168.1.0/24 в сеть 192.168.77.0/24 будут пресекаться
НО соединения из сети 192.168.77.0/24 будут пропускаться, а резаться будут именно ответы и потому ЯКОБЫ соединения нет, на самом деле просто не доходят ответы

Правильно будет так

Код: Выделить всё

add action=drop chain=forward dst-address=192.168.1.0/24 src-address=192.168.77.0/24
add action=drop chain=forward dst-address=192.168.77.0/24 src-address=192.168.1.0/24


ну или так (не совсем корректное решение)

Код: Выделить всё

add action=drop chain=forward dst-address=192.168.0.0/16 src-address=192.168.0.0/16

Re: изоляция подсетей и маршрутизация избранных хостов

Добавлено: 17 фев 2016, 09:53
gmx
vqd писал(а):
Теперь немного покритикую вариант с
add action=drop chain=forward dst-address=192.168.1.0/24 src-address=192.168.77.0/24

Да оно внешне работать будет, то-есть все попытки соединится из сети 192.168.1.0/24 в сеть 192.168.77.0/24 будут пресекаться
НО соединения из сети 192.168.77.0/24 будут пропускаться, а резаться будут именно ответы и потому ЯКОБЫ соединения нет, на самом деле просто не доходят ответы


Абсолютно согласен. Просто во встречном сегменте сети у меня тоже микротик стоит и на нем уже обратное правило прописано.


Кстати, если IP адресов, которым нужно разрешить доступ немного, можно обойтись без адрес листов.
Выше правил блокировки прописать правила разрешающие доступ для нужных IP. Допустим это IP адрес компа админа.
В таком случаем в таблице IP-firewall все видно сразу, а если настроить отображаемые столбцы, то и вообще одного взгляда будет достаточно, чтобы понять, у кого есть доступ, а у кого нет.

Итог беседы: ТС мы дали направление, в котором нужно двигаться и самому изучать возможности микротика, а не ждать, что кто-то напишет за него.

Re: изоляция подсетей и маршрутизация избранных хостов

Добавлено: 17 фев 2016, 10:27
vqd
Тоже верно, можно без адрес листов сделать, это просто увеличит кол-во правил в фильтре. Вариантов много, я показал сам принцип )))

Re: изоляция подсетей и маршрутизация избранных хостов

Добавлено: 18 фев 2016, 15:29
KARaS'b
Вот это шикарно! Определенно надо где то увековечить! :co_ol:

Re: изоляция подсетей и маршрутизация избранных хостов

Добавлено: 18 фев 2016, 17:34
vqd
Ну если все понятно то увековечится само в голове ))))

Re: изоляция подсетей и маршрутизация избранных хостов

Добавлено: 19 фев 2016, 18:14
podarok66
vqd писал(а):Ну если все понятно то увековечится само в голове ))))

Если ты не против, я могу у себя в ЖЖ оставить, со ссылкой на тебя и на тему обсуждения. Все равно туда народ ходит, как в справочную, а я там в последнее время не бываю, что-то поджало со временем совсем.

Re: изоляция подсетей и маршрутизация избранных хостов

Добавлено: 19 фев 2016, 18:52
vqd
да пожалуйста

Re: изоляция подсетей и маршрутизация избранных хостов

Добавлено: 19 фев 2016, 22:32
podarok66
Спасибо, сделал. Ссылайтесь, если что.

Re: изоляция подсетей и маршрутизация избранных хостов

Добавлено: 07 апр 2017, 10:51
andrey1206
Всем добрый день! Вроде читаю и все понятно, но не получается у меня. Либо у меня такая конфигурация сети, и надо что то еще дописывать.
Задача: несколько ПК в сети 192.168.100.0/24 и один ПК 192.168.101.2, который должен выходить в интернет и видеть только один ПК 192.168.100.23. При этом один микротик, на котором интернет и DHCP.
Привожу свой конфиг, может кто подскажет в чем ошибки. Спасибо!
/ip pool
add name=LAN ranges=192.168.100.2-192.168.100.30
add name=POOL_LAN2 ranges=192.168.101.2
/ip dhcp-server
add address-pool=LAN disabled=no interface=LAN lease-time=3d name=LAN
add address-pool=POOL_LAN2 disabled=no interface=ether5 lease-time=1d name=LAN2
/ip address
add address=192.168.100.1/24 interface=LAN network=192.168.100.0
add address=192.168.15.15/20 interface=wan1 network=192.168.0.0
add address=192.168.101.1/24 interface=ether5 network=192.168.101.0
/ip dhcp-server network
add address=192.168.100.0/24 dns-server=192.168.100.1 gateway=192.168.100.1
add address=192.168.101.0/24 dns-server=192.168.101.1 gateway=192.168.101.1
/ip firewall address-list
add address=192.168.101.2 list=no_filterA
add address=192.168.100.23 list=no_filterB
/ip firewall filter
add action=drop chain=forward connection-state=new dst-address=192.168.101.0/24 dst-address-list=!no_filterB src-address=192.168.100.0/24 src-address-list=!no_filterA
add action=drop chain=forward connection-state=new dst-address=192.168.100.0/24 src-address=192.168.101.0/24
/ip firewall nat
add action=masquerade chain=srcnat out-interface=wan1
/ip route
add comment=INET1 distance=1 gateway=192.168.15.200
Часовой пояс: UTC+03:00
Страница 5 из 7

Создано на основе phpBB® Forum Software © phpBB Limited

Русская поддержка phpBB